Een Security Operations Center (SOC) is al lang niet meer alleen voor de hele grote jongens. Steeds meer uiteenlopende organisaties kiezen ervoor samen te werken met een Security Operations Center. Maar wat is een SOC precies? En wat levert het op?

Wat is een SOC – Security Operations Center?

Wat is een SOC? Een Security Operations Center (SOC) is de cyberversie van een alarmcentrale (PAC). Waar een alarmcentrale in actie komt bij de detectie van een inbreker, komt een SOC dat bij digitale dreiging. Een Security Operations Center is bemand: SOC-experts monitoren de digitale infrastructuur van een organisatie en komen in actie bij een veiligheidsincident.

In dit continu veranderende threatlandschap is de kans dat een organisatie nooit te maken krijgt met een aanval tegenwoordig – helaas – nihil. Maar: dat betekent dus niet dat u gegarandeerd schade ondervindt aan zo’n aanval. Een aanval die op tijd is ontdekt door een SOC, is ook op tijd tegengegaan.
 

Hoe werkt een SOC – Security Operations Center?

Een Security Operations Center maakt altijd gebruik van software. In de praktijk komt SIEM-software het vaakst en al het langst voor. Dat is software die gegevens verzamelt vanuit de IT-infrastructuur van een organisatie. De instellingen van deze software bepalen hoeveel informatie u krijgt. Sommige organisaties kiezen ervoor enkel netwerken te monitoren, anderen kiezen voor SIEM-instellingen die de gehele infrastructuur dekt.

SOC-experts verwerken de informatie die uit de SIEM-software komt. Zij interpreteren de gebeurtenissen en bepalen of er sprake is van een incident. Afhankelijk van de afspraken die u met een SOC maakt, krijgt u rapporten over deze meldingen en komt de SOC in actie bij een calamiteit.

Tegenwoordig zien we ook steeds vaker een SOC met EDR. Dit is software die niet de gehele infrastructuur in de gaten houdt, maar gefocust is op de endpoints. Ook is een SOC met zowel een SIEM als EDR een combinatie die we steeds vaker tegenkomen in de praktijk.
 

Wat doet een SOC – Security Operations Center?

We hebben globaal een beeld gegeven van wat u mag verwachten van een Security Operations Center. We gaan nu dieper in op hoe een Security Operations Center concreet in de praktijk werkt. Wat mag u allemaal verwachten van een SOC?
 

1. Actieve Monitoring

Security Operations Centers houden netwerken en infrastructuren actief in de gaten. Threats komen zo op tijd aan het licht, waardoor de oplossing vaak sneller is toegepast is dan de schade. Die actieve monitoring bestaat uit een combinatie van tooling en mankracht. SOC-experts zetten SIEM (of EDR) software in om data te verzamelen. Vervolgens analyseren ze zelf de meldingen die de software genereert.
 

2. Kwalificatie van meldingen

Een goede SOC mist niets. Om dat voor elkaar te krijgen, is het belangrijk dat de software breed data verzamelt. Het gevolg daarvan is dat er soms ook een melding binnen komt die geen dreiging, maar goed te verklaren gedrag van een gebruiker is. SOC-experts nemen al deze meldingen onder de loep.

False positives verdwijnen in de prullenbak en de geldige meldingen krijgen een kwalificatie. Hoe groot is de dreiging? Hoe is het ontstaan? Wat moet er gebeuren voor een oplossing? En hoe snel moet die oplossing komen? Bij elke melding krijgt een klant advies wat hij kan doen om in het vervolg dit soort meldingen te voorkomen.
 

3. Threat Response

Na de kwalificatie van meldingen, vindt de threat response plaats. De SOC-experts komen in actie om de gekwalificeerde (potentiële) threats te beperken. Bijvoorbeeld door endpoints uit te zetten (of isoleren), bestanden te verwijderen, processen beëindigen, etc. De meest urgente meldingen krijgen uiteraard als eerste aandacht. Daarnaast is het doel om ingrepen altijd zo klein mogelijk te houden, zodat het geen tot weinig impact heeft op de processen binnen uw organisatie.
 

4. Eventueel herstelwerk

Het doel van een SOC is altijd ingrijpen voordat er schade is. Natuurlijk is dat niet in alle gevallen mogelijk: dan is het beperken van schade vooral prioriteit. Naderhand is er altijd wat herstelwerk nodig om het netwerk weer terug in zijn originele staat te krijgen. Denk bij dit herstelwerk aan het terughalen van verloren data, herconfiguraties, reboots of het installeren van back-ups.
 

5. Logs beheren & onderzoeken

De data waar we het eerder over hadden, hebben in de praktijk de naam “logs”. Deze logs omvatten alle activiteiten op het netwerk: niet alleen de verdachte activiteiten. Het is belangrijk om alle activiteiten te loggen, want dat vormt de “baseline” van al het verkeer. De software én de SOC-expert leert zo wat normaal gedrag is binnen een organisatie en wat niet. Dat maakt het detecteren – en afhandelen – van threats eenvoudiger.

Daarnaast geven logs ook de mogelijkheid na een incident te achterhalen hoe het incident heeft kunnen gebeuren. Dit helpt bij preventie in de toekomst.
 

6. Inzicht in doeltreffende securitymaatregelen

We blijven erbij: goede cyber security heeft niets te maken met zoveel mogelijk maatregelen. Waarom met kanonnen op muggen schieten? Een SOC geeft goed inzicht in hoe het eraan toe gaat binnen de infrastructuur van een organisatie. Met die gegevens zijn SOC-experts in staat nog beter advies te geven over de securitymaatregelen die organisaties écht verder helpen.
 

Verschillen tussen Security Operations Centers

Ondanks dat elk Security Operations Center hetzelfde doel heeft – namelijk threats op tijd detecteren – is niet elke SOC hetzelfde. Bijvoorbeeld: bij de ene SOC betaalt u per log en bij de ander (bijvoorbeeld die van IP4Sure) betaalt u per log producing asset. Zo zijn er nog meer verschillen. Hoe dat precies zit? In dit artikel helpen we u bij het kiezen van een SOC die het beste bij uw organisatie past.

In gesprek over de IP4Sure SOC-dienst?

Meer lezen over de Security Operations Center van IP4Sure? Of heeft u vragen en zou u meer informatie willen over Security Operation Centers? Bekijk hier de pagina over de IP4Sure SOC, of neem vrijblijvend contact met ons op.

Ze gaan niet goed samen, maar zijn toch onlosmakelijk aan elkaar verbonden: stress en ransomware. Waar gezond verstand onmisbaar is tijdens een cyberaanval zoals een ransomware-aanval, weet de schrik de besten te verleiden tot onhandige acties. Terwijl die eerste acties na een aanval bepalend zijn voor de grootte van de totale schade.

Wat te doen bij een ransomware-aanval? In dit artikel geven we tips om ondanks de blinde paniek, toch met gezond verstand te handelen tijdens een cybernoodsituatie. Zorg dat u ondanks de stress ook de meest elementaire stappen niet overslaat. Zoals eerst rustig in en uit ademen.

Het gevaar van ransomware–aanvallen

Allereerst: wat voor gevaar loopt u bij een ransomware-aanval? Ransomware is een vorm van Malware die gegevens op een computer blokkeert door het te encrypten. Ransomware staat ook wel bekend als “gijzelsoftware”, dit omdat de data gegijzeld wordt en de aanvaller deze pas bij betaling van losgeld terug belooft te geven.

Het grote gevaar van ransomware is dat het zich razendsnel kan verspreiden. Het is van essentieel belang te voorkomen dat ook andere delen van uw data gegijzeld raken. Dus: wat te doen bij een ransomware-aanval? Hier onze tips:
 

1. Blijf kalm

Het hoofd koel houden is vanzelfsprekend de eerste stap: het maakt adequaat handelen bij een ransomware-aanval een stuk haalbaarder. Haal diep adem. Tel desnoods tot 10. Zorg ervoor dat u pragmatisch te werk gaat en niet emotioneel. Ondersteuning hierbij nodig? Bel dan een noodnummer: zij loodsen u door de ransomware-aanval heen.
 

2. Stel de back-up veilig

Tijdens een ransomware-aanval is het voor de continuïteit van uw bedrijf het belangrijkst om direct de back-ups veilig te stellen. Zo voorkomt u dat deze versleuteld worden. Haal de back-up server offline zodat er geen netwerk connectie meer mogelijk is naar deze server of opslag locatie. Maakt u eveneens gebruik van offline back-ups? Bevestig dan dat deze momenteel niet gekoppeld is aan een server.

Over back-ups gesproken: zorg dat logbestanden altijd extern worden opgeslagen.
 

3. Stop (wanneer mogelijk) de internetverbinding

Een ransomware-aanval beperkt zich niet tot één apparaat. Wanneer er een besmetting plaats heeft gevonden, is het dan ook zaak de apparaten die nog niet zijn geïnfecteerd te beschermen. Door de internetverbinding te stoppen, verkleint u de kans dat andere systemen versleuteld raken. De encryptie sleutel kan dan niet meer uitgewisseld worden. Dat zit zo:

In de meeste gevallen neemt de ransomware bij activatie eerst contact op met de server van de aanvaller. Dit gaat via het internet. Op deze server staat in sommige gevallen de encryptie sleutel. Dit proces kan ook andersom werken: het systeem met de ransomware genereert dan een encryptie sleutel en start de encryptie nadat de sleutel is geüpload naar de server van de aanvaller. Zonder internetverbinding is dit niet mogelijk.

Let op: schakel het geïnfecteerde apparaat niet uit tijdens een ransomware-aanval. Dit kan sporen wissen die juist belangrijk zijn om te onderzoeken hoe alles heeft kunnen gebeuren.
 

4. Isoleer het besmette apparaat

Om verdere besmetting te voorkomen, is het stoppen van al het netwerkverkeer van de geïnfecteerde systemen ook verstandig. Zeker wanneer u er op tijd bij bent en weet waar de besmetting zit, kan u gericht actie ondernemen. Ontkoppel ook direct alle apparaten en externe harde schijven als deze aangesloten zijn.
 

5. Zet nog meer processen stil

Het doel is de ransomware zo snel mogelijk zo min mogelijk bewegingsvrijheid te geven. Het stoppen van de internetverbindingen en netwerkverbindingen draagt hier al groots aan bij. Maar om nog een stap verder te gaan, is het verstandig ook belangrijke systemen zoals servers uit te schakelen of – in het geval van virtual machines – te pauzeren.

Disable daarnaast alle vormen van communicatie die geen two-factor authentication vereisen. Loop verdachte IP-adressen na en blokkeer deze allemaal.
 

6. Verander voor de zekerheid alle (belangrijke) wachtwoorden

Dit is een stap die bij geen enkele cyberaanval overgeslagen mag worden, dus ook niet bij een ransomware-aanval: verander alle wachtwoorden. Zo maakt u de kans kleiner dat een aanvaller toegang blijft houden tot uw infrastructuur

Zorg dat u de juiste kennis in huis hebt

Bovenstaande stappen zijn technisch van aard. Controleer daarom altijd wat het technisch kennisniveau binnen uw organisatie is. Twijfelt u of uw medewerkers deze stappen adequaat kunnen doorlopen? Schakel dan altijd een expert in. Dit om onnodige schade door verkeerd uitgevoerde acties te voorkomen.

 
Ook kan het opsporen van het initieel besmette apparaat een grote uitdaging zijn voor iemand met (te) weinig kennis van cyber security. Zeker wanneer uw organisatie geen gebruik maakt van een SIEM of SOC.
 
Nog beter is natuurlijk een ransomware-aanval volledig voorkomen: een expert kan u hier ook bij helpen.

De schade is beperkt, wat nu?

Laten we allereerst voorop stellen: bovenstaande maatregelen lossen het ransomware-probleem niet volledig op. Ze beperken de schade zoveel mogelijk. Toch mag u er – helaas – van uit gaan dat er altijd schade is na een ransomware-aanval: schade die u zo snel mogelijk wil verhelpen om negatieve invloed op de bedrijfscontinuïteit zoveel mogelijk te voorkomen.
 

1. Documenteer de stappen die u genomen hebt

Welke acties hebt u genomen nadat u de ransomware-aanval had gedetecteerd? Documenteer deze stappen grondig, het liefst aangevuld met een timestamp. Documentatie draagt bij aan een overzichtelijk onderzoek achteraf. Ook helpt het met het inschatten van de schade.
 

2. Draag de casus over aan een gespecialiseerd onderzoeksteam

Bij het herstellen van de schade en het onderzoeken van de aanval moet u secuur te werk gaan. Zo is het bijvoorbeeld niet aan te raden een gecompromitteerd account te gebruiken voor verder onderzoek. Cyber security experts weten de risico’s goed in te schatten en adequaat te handelen. Zo gaat een ransomware-aanval vaak gepaard met meerdere aanvallen: misschien lijken bepaalde systemen nog goed te werken, maar blijken ze in de praktijk ook aangevallen.

Experts geven u een helder beeld van de situatie. Daarnaast weten ze welke stappen ze moeten zetten om de schade te verkleinen en een tweede aanval te voorkomen. 

3. Herzie samen met een cyber security expert uw securitybeleid

De cybersecurity expert zal waarschijnlijk aanvullende securitymaatregelen adviseren. Misschien moet er iets veranderen in uw beleid? Wellicht is het verstandig meer inzicht te krijgen in kwetsbaarheden en deze voortaan op tijd te verhelpen? Kijk samen met de expert naar welke maatregelen bij uw organisatie passen en welke ook haalbaar zijn.
 

Voorkom een ransomware-aanval

Vaak wanneer u zelf merkt dat er een ransomware-aanval gaande is, is er al schade gemaakt. Het is daarom beter om een aanval A. Te voorkomen en B. Op tijd te herkennen als het toch gebeurt. Met een SIEM of SOC bent u op de hoogte van wat er gebeurt in uw digitale infrastructuur. Zo bent u in staat veel sneller in actie te komen wanneer er nood aan de man is.

Daarnaast helpen de logs die een SIEM genereert ook bij het onderzoek achteraf. Het is veel eenvoudiger te herkennen waar het mis is gegaan en hoe u een ransomeware-aanval in de toekomst voorkomt. Met een cybersecurity expert in gesprek over het voorkomen van ransomware-aanvallen? Neem vrijblijvend contact met ons op.

Wat is SIEM? 

SIEM is een afkorting die staat voor “Security Information and Event Management”. Het is software die gebeurtenissen op de digitale infrastructuur bundelt in één omgeving. De SIEM analyseert deze gebeurtenissen op afwijkingen. Is er een activiteit die niet normaal of gebruikelijk is? Dan ontstaat er een melding. 

SIEM software wordt vaak gecombineerd met een SOC (Security Operations Center). SOC-analisten – cyber security experts die de SIEM monitoren – zien zo in een oogopslag dat er een incident is. Maar: afwijkend gedrag hoeft nog geen potentiële cyberaanval te betekenen. Daarom analyseren de security experts elk incident nauwkeurig op false positives. 

Wat kan een SIEM allemaal? 

Nogmaals: een SIEM geeft zicht op de gebeurtenissen binnen een digitale infrastructuur, binnen een cyber security context. Het grootste doel is een beginnende cyberaanval of datadiefstal op tijd ontdekken. De software draagt hieraan bij door:

• Logs (gebeurtenissen) te verzamelen vanuit de digitale infrastructuur.
• Een voorselectie maken voor de SOC-analisten: welke gebeurtenissen zijn verdacht?
• Een reactie geven op incidenten door een melding te geven. 
• Tegenwoordig soms zelfs automatisch. 

Daarnaast creëert de software vooral overzicht. Digitale infrastructuren zijn tegenwoordig doorgaans zó uitgebreid, dat het haast niet mogelijk is om alles te overzien. SIEM software bundelt de gegevens van alle onderdelen en maakt de zwakkere onderdelen zichtbaar.

Wat is een SIEM nog meer?

Een SIEM is niet alleen software die potentiële aanvallen detecteert en u helpt op tijd in te grijpen. De software is voor meer handig. Zo zetten security experts een SIEM ook in om misconfiguraties op te sporen en deze te verhelpen. Het is tenslotte een bron aan informatie. 

Cyber security experts zetten die informatie ook in om – wanneer er een dreiging is – soortgelijke meldingen in de toekomst te voorkomen. Dan onderzoeken ze de logs in de software om verbanden te leggen. En om zo maatregelen te treffen. Op die manier is het mogelijk te bouwen aan een infrastructuur die zodanig veilig is, dat er zelden nog meldingen van security incidenten nodig gaan zijn.

Een SIEM gebruiken

Samengevat helpt SIEM software bij het voorkomen van cyberaanvallen én bij het verbeteren van de algehele cyberweerbaarheid. Steeds meer organisaties stellen niet meer de vraag of ze er een willen, maar hoe. 

Het is vooral belangrijk dat een SOC- of security expert de software beheert. Het liefst meerdere. Met name grote organisaties kiezen er wel eens voor hun SIEM te laten beheren door een interne SOC. Een Security Operations Center dat ze zelf hebben opgericht. Dit kost vaak wat moeite, maar dan is alles wel intern geregeld. 

Het is tegenwoordig alleen steeds moeilijker om de juiste mensen te vinden. Dat maakt dat organisaties nu ook kijken naar externe SOCs. Deze hebben security experts in dienst die SOC-incidenten zo specialistisch mogelijk afhandelen. Vaak doet het niet af aan het hebben van een interne SOC. De constructie is alleen net wat anders. Daarnaast is een externe SOC ook toegankelijker voor kleinere organisaties die geen groot security team hebben.

Ook slim: kijk even welke SIEM software bij uw organisatie past. Er zijn verschillende aanbieders op de markt en niet elke SOC gebruikt dezelfde SIEM. Het SOC van IP4Sure gebruikt InsightIDR van Rapid7.

Een SIEM kiezen en implementeren: de conclusie

Het belangrijkste is vooral dat u de SIEM laat beheren door experts die daar ervaring mee hebben. Dan haalt u écht de voordelen uit de software. Het is tenslotte specialistisch werk. Wanneer uw organisatie al een security team in dienst heeft, is een eigen SOC een optie om te exploreren. 

Is het cyber security team klein? Of helemaal niet aanwezig? Dan is een externe SOC sowieso de beste oplossing.

Meer weten over dit onderwerp? 

We schrijven zoveel mogelijk over cyber security om zo te bouwen aan een uitgebreide bron aan informatie. Lees dus zeker onze andere artikelen. En stelt u liever gerichte vragen aan een van onze security specialisten? Neem dan vrijblijvend contact met ons op.

Mogelijk zijn miljoenen mensen betrokken bij het datalek rond marktonderzoekers die software van leverancier Nebu gebruiken. Het lek is inmiddels zo grootschalig, dat de kans groot is dat u er al lang van heeft gehoord.

In dit artikel gaan we niet te diep in op het lek zelf – dat doen andere media al – maar duiken we wel in de risico’s die ermee ontstaan. Voor particulieren én ondernemers.

In het kort: hoe zit het ongeveer?

Hoe het kan dat waarschijnlijk miljoenen Nederlanders getroffen zijn? Gespecialiseerde onderzoeksbureaus zoals Blauw en USP maken gebruiken van software (aangekocht bij Nebu) om klantonderzoek uit te voeren voor uiteenlopende Nederlandse bedrijven. Ze hebben contact met Nederlanders over – bijvoorbeeld – hun tevredenheid over een bepaalde dienst. Zoals die van de NS.

Inmiddels is bekend dat o.a. VodafoneZiggo, CZ, NS en RVO marktonderzoeksburaus hebben ingeschakeld. Dit is een greep uit de organisaties waarvan al bekend is dat ze betrokken zijn bij het lek. De lijst is nog groeiende. Zelfs de gegevens van bezoekers van Vrienden van Amstel Live en het Filmfestival in Rotterdam zijn vermoedelijk gelekt.

Op dit moment ligt volgens de marktonderzoekers de oorzaak van het lek bij een kwetsbaarheid bij Nebu.

“Namen, (mail)adressen en telefoonnummers”

 Er is nog geen volledige zekerheid over welke gegevens precies gestolen zijn bij de kwetsbaarheid. Het lijkt erop dat het “enkel” om namen, (mail)adressen en in sommige gevallen telefoonnummers gaat. Het zou verder geen privacygevoelige informatie betreffen. Een geruststelling. Of niet?

Wat cybercriminelen kunnen met deze gegevens

Deze gegevens geven gelukkig niet direct toegang tot onze bankrekeningen. Dat is inderdaad een geruststelling. Maar ze zijn wel een onderdeel van de door criminelen te kraken code. De gelekte data is een perfect beginpunt voor phishingcampagnes. Denk hierbij niet alleen aan phishingmails, maar ook aan brieven, smsjes en telefoontjes.

Niet overtuigd dat enkel een naam en wat contactgegevens voldoende kan zijn? Een telefoontje dat vriendelijk begint met “Goedemorgen, met Fenna Jagerman van CZ Nederland. Spreek ik met Jos Lanaken? Of ben ik verkeerd verbonden?” klinkt niet heel erg onbetrouwbaar als u die Jos Lanaken bent die zijn verzekering bij CZ heeft. Toch?

Datalekken maken phishing mogelijk nog persoonlijker

We zijn het tijdperk van phishingmails vol taal- en designfouten en slecht verstaanbare malafide telefoontjes al lang voorbij. Natuurlijk, ze komen nog voor. Maar er zijn genoeg criminelen die het vol precisie aanpakken.

Als bij dit lek ook de antwoorden op de vragenlijsten zijn buitgemaakt, bezitten criminelen alle ingrediënten om aanvallen nóg persoonlijker te maken. Heeft u meegedaan aan een onderzoek van de NS? En heeft u onder andere geantwoord wat voor soort reisproduct u gebruikt? Dan kan een phishingmail – volledig in de tone-of-voice en huisstijl van NS – daar mooi op inhaken:

“Beste meneer Lanaken,

Eerder dit jaar heeft u uw ervaringen met het nieuwe inchecken met ons gedeeld. Graag willen we u hiervoor bedanken met € 20,- reistegoed, te besteden in de maand April van 2023.

We hebben het tegoed toegevoegd aan uw lopende NS-Flex abonnement. Wilt u gebruik maken van het tegoed? Activeer deze vóór 31 maart op deze activeringspagina.

Let op: op deze actie zijn voorwaarden van toepassing.

Met vriendelijke groet,

Lien Buma
Hoofd NS Klantenservice”

Hoe meer info, hoe geloofwaardiger

Aanvallers weten zelf ook dat hun phishingacties niet bij iedereen werken. Maar ze gokken erop dat ze u net treffen in een onoplettend moment. Voeg daar een hoop persoonlijke informatie die écht op u slaat aan toe en de kans dat u niet snel vraagtekens zet bij een bericht is vergroot. Voeg daar óók nog hoge emoties (Yes! Ik krijg iets!) aan toe en de phishingactie slaagt.

Nebu-lek: ondernemers extra alert

De berichtgevingen rondom dit lek richten zich vooral op particulieren. Maar gezien o.a. de Rijksdienst voor Ondernemend Nederland en werkgevers die hun collectiviteit bij CZ hebben ook betrokken zijn bij het lek willen we ondernemers even op scherp zetten. Want het gaat dan niet alleen om privézaken, maar ook om de bedrijfscontinuïteit.

Als u nog niet alert was, bent u dat nu hopelijk wel. Waar u alert voor moet zijn? We voorspellen met de informatie die er nu is dat er dus vooral een toename gaat zijn in (geloofwaardige) phishing-acties.

Hoe is het nog mogelijk phishing te herkennen?

Als aanvallers zelfs met persoonlijke brieven gaan rondstrooien: hoe is het dan nog mogelijk phishing te herkennen? De standaard adviezen om bij twijfel de afzender te controleren en kritisch te zijn op spelling en huisstijl gaan niet meer op.

Wat als phishingacties zo persoonlijk en geloofwaardig zijn dat we niet meer twijfelen? Hangen we dan bij een mega geloofwaardig telefoontje nog op om onze bank zélf te bellen?

Altijd twijfelen?

Het liefst geven we het advies áltijd te twijfelen. Maar het is onmogelijk om bij elke mail, brief of belletje op alert te staan en het afzenderbedrijf zelf te bellen. Tenslotte worden we dagelijks overspoeld met communicatie van bedrijven. Niemand is een wandelende spamfilter.

Let vooral op urgentie

Wie snel handelt, let niet goed op. Phishingacties sturen daarom bijna altijd op urgente acties. Van een “Claim snel uw tegoed” tot “Geef snel X informatie om X te voorkomen”. Dus voelt u zich door een mail, brief, smsje of telefoontje gepusht tot een snelle actie? Dat is een moment om extra alert te zijn. En wat bedoelen we met alert? Het aller slimste is om contact op te nemen met de (zogenaamde) afzender via contactgegevens op de website van het desbetreffende bedrijf.

Verder blijft het natuurlijk goed om altijd de afzender te controleren en te letten op ongebruikelijke designelementen, etc.

Wat als privacygevoelige gegevens zijn gelekt?

Als kopieën van paspoorten, BSN-nummers of creditcardgegevens zijn gelekt, is er identiteitsfraude mogelijk. Denk aan het openen van een bankrekening op uw naam. Of het vastleggen van een energiecontract of telefoonabonnement. Of nóg creatievere dingen.

Gaat dat bij dit specifieke lek ook het geval zijn? In het geval van de marktonderzoekers waarschijnlijk niet. We vermoeden dat die niet met dergelijke gevoelige data te maken hebben gehad en er dus ook geen paspoorten te lekken vielen.

Maar blijken er meer organisaties die wél gevoelige gegevens verwerken kwetsbare software te hebben gebruikt? Dan liggen de kaarten anders. Voor nu is de kans gelukkig klein.

Meer informatie over phishing

Meer lezen over phishing herkennen en bescherming tegen phishing? Lees dan hier verder.

Afgelopen week vond de flitswebinar “Wachtwoord vergeten? Prima!” in samenwerking met Thales plaats. 

Michiel Linders van Thales ging dieper in op snelle, makkelijke en veilige authenticatie met FIDO tokens. Voor wie niet bij de webinar kon zijn: hij is gelukkig terug te kijken. Hij staat hieronder!

FIDO token aanvragen

Na afloop van de webinar ontvingen deelnemers een FIDO-token om zelf uit te proberen. Er zijn er nog een paar over. Een FIDO token aanvragen? Of de FIDO token die u al heeft installeren? Bekijk dan deze pagina.

Tegenwoordig houdt veel apparatuur loggegevens bij. Dat is maar goed ook, want het is data die de cyberweerbaarheid van organisaties kan verhogen. Maar: wat zijn loggegevens? En wat doen we ermee?

Bij een inbraak zonder camerabeelden is het knap lastig de dader nog te vinden. Wie kans wil maken op gerechtigheid, moet creatief zijn. Hetzelfde geldt bij een digitale inbraak: zonder registraties van gebeurtenissen is het spoorzoeken een stuk lastiger.

Wat zijn loggegevens?

“Loggegevens” is een verzamelnaam voor data van activiteiten op apparaten. Bovenstaand voorbeeld legt in een notendop het securitynut van loggegevens uit. Al zetten cyber security experts logs vooral in om te achterhalen hoe cyberincidenten hebben kunnen gebeuren. We willen herhaling voorkomen.
 

Wat voor aanvallen zijn te achterhalen?

Door loggegevens slim te analyseren (daar gaan we later op in) is het mogelijk de bron van elke cyberaanval te achterhalen. Of nog beter: de cyberaanval real-time detecteren. Logs zijn een goudmijn aan informatie. Het is niet voor niets dat steeds meer organisaties hun logs laten analyseren door securityspecialisten.
 

Verbanden leggen met loggegevens

Loggegevens van één apparaat geeft informatie, maar logs van alle apparaten combineren maakt het pas echt mogelijk verbanden te leggen. Het doel van aanvallers is vaak toegang krijgen tot het netwerk. Ze beperken zich dus meestal niet tot één apparaat. Het combineren van logs maakt het mogelijk alle acties – in dit geval van de hacker – binnen de digitale infrastructuur te herleiden.
 

Honderden, duizenden & miljoenen logs

Het combineren van logs geeft inzicht. Dat is alleen helemaal niet zo simpel. Eén apparaat (log-producing asset) produceert dagelijks al een grote hoeveelheid loggegevens. Laat staan de gehele digitale infrastructuur bij elkaar. Dat zijn ongekend veel logs. Onmogelijk om handmatig door te spitten dus.
 

Orde in de chaos

Om deze rimboe aan informatie te verwerken en te vergelijken, is er software nodig. Binnen de cyber security gebruiken we doorgaans SIEM-software. Deze software zorgt ervoor dat de data in het juiste format (die verschilt per log-producing asset!) in de database komt.

Vaak heeft zo’n SIEM ook nog een dashboard waarin alle data visueel zichtbaar is. Dat geeft overzicht en inzicht. Als de logs van de hele IT-omgeving gekoppeld zijn aan de software is er in de SIEM informatie over de hele infrastructuur op te zoeken. Ook geeft een SIEM een melding van verdachte activiteit als van te voren gedefinieerd is wat onder verdacht valt.
 

Van inzicht naar meerwaarde

Het hebben van inzicht garandeert nog geen meerwaarde. Iemand moet de informatie eerst interpreteren, goed snappen en er actie op zetten. Een Security Operations Center vertaalt de informatie uit een SIEM door tot concrete handelingen. Security experts signaleren of grijpen zelfs in bij security incidenten.

Aanpassingen die dergelijke meldingen in het vervolg voorkomen, verhogen vervolgens op de lange termijn de cyberweerbaarheid.
 

Toepassing van logs buiten de cyber security

Inzicht in de activiteiten op een infrastructuur levert nog meer kansen op. En nee, we hebben het niet over medewerkers bespioneren. Al kunnen het wel wat zeggen over hoe vaak collega’s bepaalde toepassingen gebruiken. Misschien is er meer bandbreedte voor nodig dan gedacht? Of misschien zijn er in het vervolg juist minder licenties nodig?

En biedt uw organisatie vaak IT-support op afstand? Dan helpen logs helpdeskmedewerkers bronnen van moeilijk te herleiden problemen te achterhalen. Sommige IT-bedrijven zijn hun klanten zelfs voor door contact met ze op te nemen, nog voordat hun apparaat symptomen vertoont.
 

Loggegevens: zet ze in

Of de toepassing nu binnen de support of juist cyber security ligt: loganalyse achterhaalt snel oorzaken en oplossingen. Vragen over hoe wij loggegevens inzetten? Of over de SIEM-software die wij daarvoor gebruiken? Of onze SOC-dienst in zijn algemeen? Neem vrijblijvend contact met ons op.

Een SOC die deels geautomatiseerd in actie komt bij incidenten: tegenwoordig bestaat het. EDR software is het geniale brein hierachter. Maar is een SOC met SIEM daardoor wel of niet ondergeschikt geraakt?

SOC met EDR op de markt

Wie de laatste tijd oriënteert voor een SOC is waarschijnlijk ook een aantal Security Operations Centers die werken met EDR tegen gekomen. Een andere soort security software dan de SIEM. Is het einde van het SIEM tijdperk in zicht dankzij de geautomatiseerde EDR software? Of zit het anders?
 

Security Operations Center

Voor wie nu denkt: “SOC? EDR? SIEM?” eerst even een korte uitleg. Een Security Operations Center is te vergelijken met een alarmcentrale. Het SOC krijgt alleen niet via sensoren en camerabeelden meldingen, maar via software. Van oudsher is SIEM-software dé dataleverancier van een SOC. Geen data betekent tenslotte geen meldingen.

Is er verdachte activiteit gaande? Dan brengt een SOC u op de hoogte. Alle informatie die de software ondertussen heeft verzameld, is in te zetten voor onderzoek naar oorzaak én herstelopties.

Dit artikel legt alle afkortingen binnen de MDR (ja, die afkorting ook) uit.
 

SIEM en EDR zijn verschillend

Endpoint Detection & Response is niet een SIEM met meer opties. Nee, een SIEM en EDR verschillen inhoudelijk juist ontzettend van elkaar. Het is daarom belangrijk om te weten dat u van een SOC met EDR andere dingen mag verwachten dan een SOC met SIEM. Hoe dat zit? Dat leggen we uit door de SIEM- en EDR-software naast elkaar te leggen.
 

SIEM

Laten we beginnen bij de klassieker: de SIEM. Deze software houdt uw volledige infrastructuur in de gaten. Het verzamelt logs vanuit uw infrastructuur, die het SOC dan vervolgens weer analyseert en kwalificeert. U kiest zelf waar u meldingen van krijgt. Denk bijvoorbeeld aan (te) veel mislukte inlogpogingen op een apparaat, lateral movement of een honeypot file die is geopend.

Een SIEM is niet in staat zomaar geautomatiseerd in actie te komen. De software “spuugt” enkel informatie uit waar het SOC-team vervolgens zelf een response op moeten geven.

Overigens: omdat de SIEM-software al enige tijd meegaat, is inmiddels niet elke SIEM meer hetzelfde. Hoe dat zit leest u hier.
 

EDR

De naam zegt het al: Endpoint Detection & Response richt zicht op de beveiliging van Endpoints (apparaten). De meeste EDR-oplossingen zitten heel diep in het systeem en zien daardoor alles. Raakt een apparaat geïnfecteerd? Dan biedt EDR inzicht én komt in actie.

Niet alleen door het apparaat terug te zetten naar een moment waarop het nog niet geïnfecteerd was (rollback). Het onderzoekt  automatisch op wat voor endpoints de – bijvoorbeeld – ransomware nog meer draait. Om vervolgens – via een tijdlijn – te achterhalen bij welke machine de besmetting begonnen is. EDR is zelfs in staat een apparaat te isoleren om verspreiding van de besmetting tegen te gaan.

EDR detecteert én handelt dus. In tegenstelling tot een SIEM. Er zit alleen een grote maar aan: EDR beperkt zich tot endpoints. Devices. Het heeft dus géén zicht op de rest van de digitale infrastructuur (clouddiensten, netwerkapparatuur, databases, applicaties, etc.).

 

De verschillen tussen SIEM en EDR

We maken dingen niet onnodig ingewikkeld. In het kort hieronder dus een zeer bondig tabelletje die de belangrijkste verschillen – en overeenkomst – tussen SIEM en EDR weergeeft. (Smartphonegebruikers kunnen het tabel naar rechts scrollen om de inhoud te zien)

Onderzoek na een threat

Beide softwareopties maken het mogelijk onderzoek te doen naar incidenten. Is er iets gebeurd? Dan kan het SOC-team in de logs terugkijken naar wat zich heeft voorgevallen. Dat stelt technische teams in staat n.a.v. dat inzicht oplossingen aan te brengen die dergelijke incidenten in de toekomst voorkomen.

Uiteraard geldt wederom dat de logs van EDR-software zich beperken tot devices.
 

SOC: met SIEM of met EDR?

Een SIEM is niet ondergeschikt aan EDR en EDR is ook niet ondergeschikt aan SIEM. Ze hebben beiden hun voor en nadelen, waardoor het per organisatie een afweging is welke software het beste past.

De meeste organisaties zien voordelen in de automatische herstelopties van EDR. Bij ransomware kan de snelle reactiesnelheid van EDR soms net het verschil maken. Maar de afweging is dan wel: zijn de risico’s van de blinde vlekken in de rest van de infrastructuur te accepteren?

In het geval dat dat niet zo is, dan is een SIEM die een stuk meer inzicht geeft meer geschikt. Al beperkt het zich niet tot een “of of” verhaal.
 

SOC met SIEM én EDR

Sommige cyber security bedrijven – waaronder IP4Sure – bieden zowel SIEM als EDR als optie aan. Doordat de SOC-experts getraind zijn in allebei de softwareopties, is het ook een optie te genieten van de voordelen van zowel SIEM als EDR.

Dat betekent: inzicht in héél de infrastructuur én geautomatiseerde response op endpoint-niveau.

Er zijn dus drie opties:

• Een SOC met SIEM;
• Een SOC met EDR;
• Een SOC met SIEM én EDR;

Meer informatie over Managed Detection & Response?

Vragen naar aanleiding van een van onze blogs? Stuur deze vrijblijvend via het contactformulier naar ons op. Onze SOC-specialisten nemen dan contact met u op.

Google op cyber security monitoring of Detection & Reponse en de afkortingen SOC en MDR dienen zich aan. En SIEM. En EDR. En IDR. En- We kunnen zo nog wel even doorgaan.

Het cyber security jargon is een lekker ingewikkelde wirwar aan afkortingen. Bovenstaande hebben veel met elkaar gemeen, overlappen onderling én zijn verschillend van elkaar. Reden genoeg om het even simpel onder elkaar te zetten en begrijpelijk te maken.
 

Waarom zoveel afkortingen?

Wie cyber security afkortingen als SOC en MDR probeert te begrijpen, komt er vervolgens nog véél meer tegen. Het gevolg? Verwarring. Logisch: die afkortingen en termen zijn er ook in overvloed. Het snel veranderende threatlandschap zorgt voor meer dreigingen en dus nóg meer oplossingen.

Allemaal met eigen naam – eh – afkorting.

Of het nu gaat om een product of een dienst: cyber security innovators doen hun best met zo goed mogelijke termen te komen. Vaak een variatie op variatie:  MFA (Multi Factor Authentication) is een betere versie van 2FA (Two Factor Authentication).

Daarnaast houden wij techneuten van zo specifiek en dekkend mogelijke termen.  Marketing heeft er ook nog baat bij: die moedigen vernieuwende termen alleen maar aan. Hoe gaaf als securitybedrijf X bekend staat als “Uitvinder van XYZ”?

Tsja, dan rollen die termen als IDR, EDR en XDR er vanzelf uit.
 

Wat betekenen MDR, SOC, SIEM, IDR, EDR en XDR?

In dit artikel gaan we niet in op alle afkortingen binnen de cyber security markt. Ze zijn lang niet allemaal even relevant (of aangeslagen). We leggen daarom enkel de meest voorkomende (en dus relevantere) termen binnen de Detection & Response uit:
 

Wat is MDR (Managed Detection & Response)?

Van collega’s die in phishing trappen tot kwetsbaarheden in software: er kan altijd iets gebeuren waardoor uw organisatie alsnog slachtoffer is van een aanval. Met Managed Detection & Response blijven die aanvallen niet meer onder de radar.

MDR-services detecteren aanvallen en verdachte activiteiten op tijd. Daarvoor zijn doorgaans twee componenten nodig: software die de incidenten detecteert (o.a. SIEM, EDR) en experts die – vaak vanuit een SOC – de data uit de software analyseert en een response geeft.

Het “Managed” gedeelte van MDR is zo belangrijk omdat detectiesoftware – soms veel – false positives geven. Met een MDR service worden die false positives van te voren geautomatiseerd tot een minimum beperkt of handmatig door een SOC zelfs geëlimineerd. De response – een melding of zelfs een tegenactie – is dan dus altijd legitiem.

Organisaties halen het meeste uit een MDR met SOC. Dit omdat écht adequate analyse van incidenten specialistische kennis vergt: security kennis én IT-kennis.
 

Wat is een SOC (Security Operations Center)?

Security Operations Center: dat is waar SOC als afkorting voor staat. Het is een cyber security meldkamer: de experts binnen een SOC richten zich op het monitoren, het kwalificeren, analyseren en het vervolgens melden van security incidenten.

Het verschilt per SOC, maar over het algemeen zijn er afspraken te maken over de afhandeling van incidenten. Een zo’n afspraak is dat het SOC alleen de detectie, kwalificatie en communicatie van incidenten verzorgt. Een andere afspraak is dat het SOC de incidenten ook verhelpt.

Een Security Operations Center zorgt dus altijd voor detectie en kwalificatie en melding, maar niet per definitie voor actie. Dat hangt af van de afspraken die er met het SOC-team zijn gemaakt.

Een SOC gebruikt van oudsher SIEM-software, maar tegenwoordig is EDR ook de SOC-wereld in geslopen.
 

Wat is SIEM/IDR?

SIEM staat voor Security Information & Event Management. Het concept van SIEM-software stamt uit begin 2000. Nu komt de term IDR (Incident Detection & Response) soms ook voorbij als het om SIEM-software gaat.

Van de cloud tot aan software: moderne SIEMs hebben alles in het vizier. Een SIEM verzamelt namelijk gegevens (logs) over de volledige IT-omgeving. Wordt er ergens ingelogd? De SIEM weet het. Faalt een inlogpoging? De SIEM weet het.

SOCs gebruiken SIEM-software om incidenten te herkennen. De SOC-experts vertellen de SIEM als het ware wat “normaal” baseline gedrag is binnen de omgeving. Vervolgens ontvangen ze alerts bij alles wat afwijkt van die baseline. Al dat afwijkende kan een aanval zijn. Het SOC analyseert die alerts.

Let op: een SIEM detecteert alleen. Het is dus geen Detection & Response, maar een belangrijk onderdeel ervan. Er is in principe altijd een SOC nodig voor de response.
 

Wat is EDR/EPP?

Vroeger kenden we alleen EPP (Endpoint Protection Platform: firewall in combinatie met o.a. de klassieke antivirus voor op apparaten), maar nu is er ook EDR. EDR staat voor – u raadt het al – Endpoint Detection & Response. Het verschil tussen EPP en EDR?

EPP richt zich enkel op het opzetten van een schild (preventie). Zo’n schild houdt alleen nooit alles tegen. Dan is EDR handig: want die software richt zich juist op het detecteren én verhelpen van binnengekomen dreigingen op een apparaat. Bijvoorbeeld door een besmette laptop automatisch terug te zetten naar een moment waarop het nog niet geïnfecteerd was.

Sommige software is EPP en EDR in één. SentinelOne is daar een goed voorbeeld van.

Let op: EPP en EDR richten zich dus alleen op de beveiliging endpoints (apparaten). SOCs die alleen EDR gebruiken, geven dus geen inzicht of bescherming in de verdere IT-omgeving.
 

Wat is XDR?

XDR duikt op meer en meer plekken op. XDR is nog zodanig opkomend, dat de definitie wisselt per organisatie die het erover heeft. Over het algemeen is er één rode draad te vinden in die definities: XDR staat voor een holistische aanpak van Detection & Reponse. Het hoofddoel van XDR: dreigingsdetectie nog nauwkeuriger maken om de operationele efficiëntie te verhogen.

Wat dat inhoudt? We maken het simpel: het combineert de krachten van SIEM-software en EDR-software. We vertelden net dat SIEM inzicht geeft in de gehele IT-infrastructuur, maar niet geautomatiseerd ingrijpt bij aanvallen. EDR-software kan ingrijpen wanneer een apparaat geïnfecteerd is, maar beperkt zich echt enkel tot apparaten.

Wanneer organisaties het hebben over XDR, dan bedoelen ze vaak dat ze een MDR oplossing bieden waarbij ze – bijvoorbeeld – zowel SIEM als EDR gebruiken. Door meerdere technologieën samen in te zetten, zijn apparaten voorzien van autoherstelopties én heeft u inzicht over de gehele IT-infrastructuur.

Niet alle security-bedrijven noemen deze aanpak overigens XDR. Dus kijk in uw zoektocht ook naar termen als “holistische aanpak” of “SOC met SIEM én EDR”.
 

Tot slot: SOAR

We kunnen dit artikel niet afsluiten zonder “Security Orchestration, Automation & Response” genoemd te hebben. Net als EDR is SOAR in staat bij een incident tot actie over te gaan: maar dan wél over de gehele IT-infrastructuur. Van het resetten van firewalls tot het in quarantaine zetten van users.

SOAR is vrij nieuw op de markt en nog niet geschikt voor elke organisatie. Vragen over SOAR? Neem vrijblijvend contact op.
 

Meer informatie over Managed Detection & Response?

Stuur uw vragen over MDR vrijblijvend via het contactformulier naar ons op. Onze SOC-specialisten nemen dan contact met u op.

Van koppen als “DDoS-aanvallen steeds kleiner en korter” tot “Azure weerstaat grootste DDoS-aanval ooit”: DDoS-aanvallen zijn aan het veranderen. Wat voor invloed heeft dat op het voorkomen van een DDoS-aanval?

Voor we dieper ingaan op DDoS Mitigation (een DDoS-aanval voorkomen of verhelpen) best practices, eerst wat meer over DDoS zelf. Want wat is een DDoS-aanval precies?
 

Dit is een DDoS-aanval

Het doel van een (Distributed) Denial-of-Service-aanval is online diensten niet (of slecht) bereikbaar te maken voor gebruikers. Dat doen aanvaller door er een overload aan verkeer eropaf te sturen. Zo’n DDoS-aanval heeft dus vaak netwerkapparatuur en ondersteunende servers van online diensten als doelwit.

In een tijd waarin veel processen afhankelijk zijn van online diensten, is een DDoS-aanval een dreiging voor veel organisaties. Niet alleen online dienstverleners, maar ook de klanten die er gebruik van maken. Denk bijvoorbeeld het mislopen van inkomsten wanneer een betaaldienst niet werkt. Een DDoS-aanval heeft bijna altijd invloed op de continuïteit van een organisatie.
 

De veranderende DDoS-aanvallen

Wie de berichtgeving over DDoS-aanvallen in de gaten houdt, valt iets op. Namelijk dat de hoeveelheid kleine korte aanvallen groeit, en de grote aanvallen kolossaler zijn dan ooit. Interessant, want we hebben een tijd gekend waarin grote aanvallen de norm was.

Er lijkt een verschuiving gaande te zijn: meer kleine aanvallen en grotere doelgerichte aanvallen. Aanvallers kiezen waarschijnlijk steeds vaker voor klein om detectiesystemen (op basis van signatures) te omzeilen. Zo’n kleine aanval valt bij dit soort systemen minder snel op.

Daar tegenover staat dat de grote aanvallen steeds groter zijn. Waar een kleine al snel minder dan 10 Gbps is, was de recente aanval op een Azure-klant wel 2,4Tbps en had Akamai vorig jaar te maken met een aanval van 2,3Tbps.
 

Klein, maar niet onschuldig

Een “kleine aanval” klinkt als een minder schadelijke aanval. Maar is dat wel zo? Helaas: in het geval van een DDoS-aanval is zo’n kleine aanval nog altijd van flinke hinder. Het doel van aanvallers is de boel overbelasten. Of ze dat nu met 200Gbps, 2Tbps, of maar 10Gbps bereiken, maakt ze niet uit. Het ligt er maar net aan hoeveel het doelwit aankan.

Voorheen speelden aanvallers op “safe” door hoe dan ook voor de gigantische bulkloads te gaan. Zo wisten ze zeker dat de boel bij iedereen bezweek. Providers hebben inmiddels alleen al zoveel maatregelen getroffen, dat deze grote bulkloads bijna altijd gedetecteerd worden. Die kleinere loads van onder de 10Gbps niet: ze overbelasten servers, zonder direct op te vallen.

In de praktijk blijken deze kleine loads voldoende voor succesvolle aanvallen. Daarom is het tijdperk van giga-bulkloads op zijn retour, maar blijft de DDoS dreiging aanwezig.
 

Waarom DDoS aanvallen?

Inmiddels weten de meesten dat geld hetgeen is dat cybercriminelen hoofdzakelijk drijft. Vaak is data de buit die ze te koop zetten. Of ze vragen om losgeld. Maar hoe zit dat bij een DDoS, waarbij er geen buit zoals data is? DDoS’en zijn er vooral om te saboteren: om de concurrent onderuit te halen, bijvoorbeeld. Of uit activisme. Aanvallers verdienen doorgaans geld aan een DDoS door o.a. “DDoS-as-a-service” te aan te bieden op het dark web.
 

Beste manieren om een DDoS aanval te voorkomen

Nu komen we bij de best practices om DDoS-aanvallen te voorkomen aan. De nare waarheid is alleen: die zijn er niet zoveel. Althans, niet vanuit cybersecurity oogpunt. We zouden liegen als we beweren dat – bijvoorbeeld – een Firewall hier tegen helpt. Een Firewall is enorm veel waard: maar dan wel bij andere dreigingen, niet bij een DDoS.

Er zijn genoeg lijstjes met DDoS Mitigation tips te vinden op het web. Maar eerlijk? Die zijn uw tijd niet echt waard. Deze investeringen leveren vaak te weinig preventie op, zeker in vergelijking tot de (tijds)investering die ervoor nodig is.
 

Raadpleeg uw hostingprovider

Een DDoS aanval is wat dat betreft dus een vreemde eend in de bijt. Hostingproviders weten er alles van. Letterlijk. Wilt u zeker weten dat u er alles aan hebt gedaan de kans op continuïteitsschade na een DDoS te verkleinen? Neem dan contact op met uw hostingproviders. Vraag wat voor maatregelen ze hebben getroffen (of aanbieden).

Hoe zit het met de detectie van een bulkload? Bespreek ook mogelijkheden zoals Cloudflare. Die voorkomen DDoS-aanvallen niet, maar het zijn wel een oplossingen die verkeer in een wachtrij naar binnen laat.

Verder biedt Imperva tegenwoordig een DDoS Protection oplossing die bulkloads omleidt via hun eigen servers.
 

Bent u wel of geen DDoS doelwit?

Om u wel even gerust te stellen: niet elke organisatie is een DDoS doelwit. Ga dus zeker bij uzelf na wat voor impact een DDoS aanval zou hebben en hoe ver u moet gaan in het voorkomen ervan. In het geval van veel organisaties betekent het namelijk enkel dat een e-mail service even niet beschikbaar is op kantoor. Het gevolg is dan tijdelijk thuiswerken. Dat is goed te overzien.

Is een website de core business van een organisatie? Bijvoorbeeld SaaS-diensten of webshops? Dan is het interessant om uw hostingprovider eens te spreken over DDoS-aanvallen. Want in dat geval betekent een storing in de service natuurlijk een storing in de omzet en/of klantervaring.
 

Cyber security en bedrijfscontinuïteit

Heeft u vragen over dit artikel? Of zou u meer willen weten over cyber security en bedrijfscontinuïteit? Bel of mail ons dan (uiteraard vrijblijvend) voor meer informatie!

Supply Chain Attacks komen steeds vaker voor. Het is vast niet de eerste keer dat u deze boodschap leest. Ook wij hebben het al eerder aangestipt. Maar wat zijn Supply Chain Attacks nou precies? Waarom neemt de populariteit toe?

Grotere organisaties – interessante doelwitten voor cybercriminelen – nemen hun cyber security tegenwoordig steeds serieuzer. Gelukkig. Directe cyberaanvallen zijn daardoor vaak lastiger, veelomvattender en eigenlijk gewoon veel gedoe. Maar zijn deze organisaties daardoor volledig veilig? Nee: hackers gaan met de stroom mee en vinden een andere weg naar binnen. Namelijk via de supply chain.

Naast de mogelijkheid grote organisaties alsnog te treffen, zorgen supply chain attacks geregeld voor een meervoud aan slachtoffers. Dat betekent: één aanval, meerdere gedupeerden. Uiteraard is dat erg interessant voor aanvallers.
 

Wat is een Supply Chain Attack?

Een Supply Chain Attack is zoals de naam zegt een aanval op de supply chain: de toeleveringsketen van een (grote) organisatie. Vaak bestaat  een supply chain uit toeleveranciers van uiteenlopende bedrijfsgroottes. Met net zo uiteenlopende cyber security budgetten. Is één van deze organisaties kwetsbaar? Dan is dat een kans voor hackers.

Hoe dat zit? Externe toeleveranciers hebben soms (gevoelige) gegevens nodig om klanten goed tot dienst te zijn. Dus zijn er gegevens opgeslagen van het doelwit? Of heeft de leverancier direct toegang tot het netwerk van het uiteindelijke doelwit? Dan kan één aanval op het bedrijf in de supply chain al voldoende zijn. En omdat in de praktijk zo’n supply chain aanval vaak makkelijker is dan een directe aanval, is het erg doeltreffend.

Een bekend voorbeeld van een supply chain attack, is de SolarWinds aanval. FireEye en de Amerikaanse overheid waren hier beiden direct de dupe van, terwijl zij niet direct werden aangevallen.
 

Hoe gaat een Supply Chain Attack te werk?

Een aanval op de supply chain hoeft er niet altijd hetzelfde uit te zien. Maar om u een idee te geven van hoe een Supply Chain Attack te werk kan gaan, geven we hieronder een voorbeeld:
 

Stap 1.

Stap één is het uitkiezen van een subtarget. Welke organisatie in supply chain is interessant en kwetsbaar genoeg om aan te vallen? Een onderzoek naar de supply chain van een organisatie hoeft niet altijd lastig te zijn. Bedrijven delen maar al te graag op hun websites voor welke klanten ze werken.
 

Stap 2.

Vervolgens is het doel binnen te komen bij het subtarget. Alle pijlen zijn dan gericht op het verslaan van de beveiliging van dit subtarget. Vaak is dit niet eens zo moeilijk. Zoals we eerder noemden,  hebben niet alle organisaties voldoende kunnen of willen investeren in cyber security.
 

Stap 3.

Wanneer hackers hun kans hebben gecreëerd, injecteren ze malware in de infrastructuur van het subtarget. Met wat geluk geeft dit verdere toegang tot het netwerk. En dan begint – na nog wat gesleutel – het echte werk: bijvoorbeeld een besmette software-update verzenden naar alle andere netwerkpartijen.
 

Stap 4.

Wanneer die netwerkpartijen de malafide update uitvoeren, krijgen ze ook kwaadaardige code geïnstalleerd. Meestal gebruiken hackers een Trojan om toegang op afstand te activeren. En dan kunnen ze héél veel.
 

Hoe beveiligt u zich tegen zo’n aanval?

Het lastige aan Supply Chain Attacks is dat u geen volledige controle hebt over de cyber security van toeleveranciers. Hebben zij hun zaken niet op orde? Dan kan u – zoals in bovenstaand voorbeeld gebeurt – ondanks uw eigen maatregelen toch de dupe zijn van cybercriminaliteit. Toch staat u niet volledig machteloos. We geven wat tips:
 

1. Ben kritisch bij het selecteren van toeleveranciers

Het komt tegenwoordig steeds vaker voor dat organisaties security eisen stellen aan hun toeleveranciers. Door kritisch te zijn op de beveiligingsmaatregelen van deze organisaties en vragen erover te stellen, krijgt u meer grip op de kwetsbaarheden binnen de supply chain. In een tijdperk waarin de cyberdreiging toeneemt, is het helemaal niet zo gek op zijn minst de basis te verlangen van de partijen waarmee u samenwerkt.
 

2. Hanteer een samenwerkingsbeleid

Zeker in grote organisaties zijn er vaak meerdere beslissingsbevoegden als het gaat om samenwerkingen. Stel een beleid op waarin het nagaan de staat van de beveiliging van een potentiële partner altijd een van de beslissende factoren is.
 

3. Help uw supply chain

Het is goed om aan de voordeur kritisch te zijn, maar niet altijd haalbaar. Het is ook niet altijd haalbaar toeleveranciers zelf te helpen, maar voor sommige organisaties is het wel een optie. Is het van levensbelang dat de kroonjuwelen goed beveiligd blijven? Dan is het zeker een optie te kijken of u (bestaande) toeleveranciers kan helpen met hun cyber security. Uiteindelijk is samenwerken en samen zorgen voor veiligheid hét wapen tegen toenemende Supply Chain Attacks.
 

4. Ben voorbereid op het ergste

Een toeleverancier is zelden volledig te controleren. Het is dus belangrijk er ook vanuit te gaan dat een Supply Chain aanval altijd een reëel scenario blijft. Soms is het gewoonweg niet te voorkomen. Dan is klaar zijn voor zo’n scenario een belangrijk vangnet. Zorg er daarom voor dat zo’n aanval altijd op tijd te detecteren is. Monitoring – bijvoorbeeld via een SOC – geeft u de gelegenheid direct in actie te komen wanneer dit nodig is.
 

In gesprek over Supply Chain Attacks?

Meer te weten komen over dit onderwerp? Of advies over wat u het beste kunt doen om uzelf en klanten te beschermen tegen Supply Chain Attacks? Neem vrijblijvend contact met ons op voor meer informatie.

“Geen tot weinig false positives”: het is een uitspraak die regelmatig te horen is in de cyber security. Maar ook buiten de cyber security wereld spreekt men steeds vaker over false positives. Bijvoorbeeld wanneer het gaat om Covid-19 zelftests.

Maar: wat zijn die false positives precies? En waarom is het goed als er “geen tot weinig” false positives voorkomen bij bijvoorbeeld een SIEM of SOC? In dit artikel: alles over false positives, false negatives, hun gevaren en: hoe cyber security professionals met die gevaren omgaan.

Allereerst: wat is de definitie van “false positive”?

In de cyber security is de false positive in basis een onterechte melding van een potentiële threat. Met andere woorden: u ontvangt een alert (SIEM event), terwijl er geen potentieel gevaar is. In de praktijk betekent dat onnodig tijdverlies. Want vaak komt pas na een onderzoek naar de melding naar voren dat het om een false positive ging. Niet zo handig dus.

Voorbeeld van een cyber security false positive

Eerst een voorbeeld van een false positive buiten de cyber security: de eerder genoemde Covid-19 zelftest. De grote zorg bij deze test was dat mensen die wél corona hebben, toch de uitslag “negatief” kregen na zo’n test. Iemand die wel ziek is maar geen positieve testuitslag krijgt, heeft te maken met een false positive.

Een false positive in de cyber security kan een alert na een grote reeks mislukte inlogpogingen zijn. Mislukte inlogpogingen zijn verdacht en kunnen wijzen op o.a. een brute force attack. Maar hebben we hier te maken met een collega die zijn wachtwoord gewoon vergeten is en daarom vaak zonder succes inlogt? Dan is er onterecht een melding geweest: een false positive.

Het gevaar van false positives

We benoemden al dat false positives onnodig veel tijd kosten. Het is enorm frustrerend om keer op keer onderzoek te doen naar een melding die achteraf onterecht blijkt te zijn. Daar zit meteen ook het gevaar: het kan zijn dat mensen hun gedrag aan gaan passen aan deze false positives. Hoe dat zit? Een voorbeeld die velen vast herkennen:

De meeste bedrijfspanden zijn voorzien van een anti-inbraakalarm. Goede alarmen zijn vaak zo afgesteld dat ze alleen reageren op bewegingen van mensen (potentiële inbrekers). Maar er zijn ook alarmen die al af gaan bij kleinere bewegende objecten zoals een kat, een poster die van de muur valt of zelfs een vogel die voorbij vliegt.

Gaat zo’n anti-inbraakalarm te vaak onterecht af? Dan vertelt ons brein ons dat het vast weer een vogel is en we niet hoeven te gaan kijken. Maar daar zit wel het gevaar: want wat nou als het één keer wél een inbreker is? En er ook dan niemand op af gaat om te kijken? Tsja, dan zijn alle spullen weg. En zo zit het ook met false positives in de cyber security. Dan is ineens alle data versleuteld.

Wat is een false negative dan?

Voor we verder in gaan op hoe false positives ontstaan én hoe ze te voorkomen zijn, eerst even meer over de false negative. Die krijgt vaak wat minder aandacht. Dat komt doordat ze in de cyber security praktijk – gelukkig – wat minder vaak voorkomen dan false positives. Maar áls er spraken is van een false negative zijn de gevolgen vaak groot.

Een false negative betekent namelijk dat er geen alert is geweest terwijl die er wel had moeten zijn. Er is dus gevaar, maar het is niet gedetecteerd. De uitkomst? Een hacker die vrij spel heeft, want niemand heeft op tijd in kunnen grijpen.

Liever false positives dan false negatives

Niets is naarder dan een SIEM of SOC hebben, maar vervolgens toch slachtoffer zijn van een aanval omdat er geen alert is geweest. Daarom zijn cyber security oplossingen zo afgesteld, dat de kans op een false negative (binnen de scope van de oplossing) zo klein mogelijk is. Liever een melding teveel dan een melding te weinig, tenslotte.

Maar zoals we eerder al benoemden: een overschot aan false positives is óók gevaarlijk en dus onwenselijk. En helaas zijn er nog genoeg security oplossingen op de markt die stikken van de false positives. IP4Sure doet er alles aan false negatives te voorkomen én de false positives zo laag mogelijk te houden. Hoe? Dat leggen we uit.

Hoe gaan onze cyber security professionals hiermee om?

Betrouwbare SIEM-software ontwikkelen en instellen is volgens experts te vergelijken met een spelletje “Wie is het?”. Oké, het is niet zo simpel als het spelen van een spel, maar de principes komen overeen. Tijdens het spel stellen spelers elkaar vragen om zo stap voor stap plaatjes van gezichten die niet overeen komen met de Mystery Person van de tegenspeler te elimineren. Te algemene vragen leveren niets op, maar te specifieke vragen ook niet.

Zo werkt het bij het instellen van een SIEM ook. Stellen we te algemene regels op? Dan krijgt u een berg aan false positives voorgeschoteld. Stellen we te specifieke regels op? Dan is er een kans dat echte incidenten die nét niet helemaal overeen komen met de omschrijving alsnog gemist worden. False negatives dus. De kunst zit hem in het opstellen van regels die beide scenario’s voorkomen.

Het schrijven van SIEM regels

Stel, Richard is een threat. Dan is die threat te omschrijven als “Een man met donkere gezichtsbeharing”. Maar zoals u ziet, is Richard niet de enige die overeen komt met die omschrijving: Alex, Philip en Max ook. Met deze omschrijving zorgen deze drie mannen ook voor een alert, ook al is enkel Richard de threat. In totaal kent het spel 24 personen, dus 4 is een hoog percentage false positives.

Een betere regel is “Een kale man met een donkere baard”. Deze omschrijving is iets specifieker en komt enkel overeen met Richard. Deze regel levert daardoor geen false positives op. Een voorbeeld van een omschrijving die false negatives op kan leveren? Die hebben we ook:

“Een kale man met een donkere baard en een oorbel”. Deze omschrijving komt vast overeen met een hele specifieke threat die een variatie is op Richard. Maar komt Richard zelf binnen? Dan levert deze regel geen alert op, terwijl hij wel een threat is. Een false negative dus.

SIEM regels in de cyber security praktijk

Natuurlijk is de praktijk niet zo simpel als een spelletje “Wie is het?”. Er komt veel kijken bij het ontwikkelen van SIEM-regels die effectief zijn én geen tot weinig false positives opleveren. Vaak analyseren professionals bestaande data om aan de hand daarvan passende SIEM-regels te schrijven.

De IP4Sure SOC

Teveel false positives is niet veilig, en teveel false negatives al helemaal niet. De IP4Sure SOC is zo opgebouwd, dat beide scenario’s niet zomaar voor komen. Ook concessies in de reikwijdte van de monitoring vanwege te lage budgetten (waardoor u dus ook belangrijke meldingen mist) zijn niet nodig.

We hebben er alles aan gedaan een SOC te bieden die toegankelijk én veilig is. Lees hier meer over de IP4Sure SOC. Vragen over onze SOC of over dit onderwerp? Neem vrijblijvend contact met ons op.

Wat gelaagde beveiliging is? En waarom het een stuk effectiever is tegen (meerdere soorten) ransomware-aanvallen? We geven antwoord aan de hand van een praktijkvoorbeeld.

Want in dat praktijkvoorbeeld ging het helaas fout: er waren onvoldoende barrières op verschillende lagen. Daardoor hadden aanvallers een goede kans toch een weg naar binnen te vinden. Gelukkig is de schade beperkt gebleven in dit voorbeeld. Maar vervelend blijft het altijd. Een ransomware-aanval kan een knap kwetsbaar gevoel geven.
 

Niet-toegankelijke data

Op 2 Augustus kreeg onze cyberlabdienst een melding van een IT-dienstverlener over een verontrustende situatie. Sinds de vroege ochtend werden ze gebeld door klanten die aangaven niet bij hun data te kunnen. Hoe dat kon? Ze hadden een vermoeden: ransomware. Na een analyse bleek het volgende aan de hand te zijn:
 

Niet-gedetecteerde ransomware

Er was inderdaad ransomware op het netwerk gekomen. Het vreemde hieraan? Deze was niet opgemerkt, terwijl de organisatie wel gebruik maakte van Endpoint Security. In principe was er niets mis met de software die ze gebruikten. Dus waarom reageerde het niet op de ransomware? Nou, niet omdat de software niet deed wat het moest doen, maar omdat de aanvallers anders te werk waren gegaan.
 

Er was niets versleuteld

Ransomware staat erom bekend bestanden te versleutelen en zo ontoegankelijk te maken. Veel security oplossingen die werken met Machine Learning zijn dan ook op dat principe gebaseerd: die geven een melding wanneer er bestanden worden versleuteld. Dat wijst tenslotte op een ransomware aanval. Het gekke bij deze aanval was alleen dat er helemaal geen bestanden versleuteld waren!

Dat verklaart waarom de Endpoint software geen reactie gaf. Is deze Endpoint software daarmee meteen nutteloos? Zeker niet. Want het doet in de meeste gevallen – waarin bestanden bijvoorbeeld wel direct encrypt worden – gewoon zijn werk. Maar bij dit zeldzame geval was er helaas net wat meer nodig om de aanval te voorkomen. Daarover later meer.
 

Zo gingen de aanvallers te werk

Het was geen doorsnee ransomware aanval dus. Hoe de aanvallers de Endpoint Security hebben kunnen omzeilen? Even snel een (technische) uitleg voor de nieuwsgierigen:

Na wat onderzoek kwamen we erachter dat ze een valide tool genaamd “BestCrypt Volume” gebruikten. Hiermee konden ze alle (non-bootable) volumes versleutelen met een password. De disk hebben ze dismounted, waarna alle data niet meer te benaderen was.

Wat is een “valide” tool? Valide betekent dat het erkend is als veilige of zelfs standaard ingebouwde software. Om deze reden worden valide tools dus niet gedetecteerd als ongewoon. Ook niet wanneer een aanvaller ze kwaadaardig inzet.

Om die boot schijf (C:\) te versleutelen, gebruikten ze Bitlocker: ook een valide tool van Microsoft zelf. Door deze handeling, is na een reboot de server niet meer te gebruiken. Gelukkig is dat niet gebeurd.

Wat ze wel hebben gedaan, is als laatste stap nog een .bat file plaatsen en draaien vanaf C:\Windows. De hele desktop kwam vol te staan met een ransomnote: het “losgeldbriefje” van de aanvallers. (Op dit punt gaf de Endpoint Security overigens wel een melding, maar toen was het al te laat)
 

Hoe is dit te voorkomen?

Het is om te beginnen goed om kritisch te zijn op de Endpoint Protectie die u kiest. Eerder schreven we al hoe Endpoint Protectie met AI (Machine Learning) effectiever is dan traditionelere varianten. Inmiddels is er best wat AI Endpoint Security op de markt.

In het geval van deze aanval hebben we wat tests gedraaid. De Endpoint Protectie van SentinelOne ging af op onze lab-machine toen de BestCrypt Volume tool werd uitgepakt van de zip. Volgens Virustotal is SentinelOne daarnaast de enige die de BestCrypt-tool als “malicious” heeft bestempeld. Hierdoor zou SentinelOne de aanval eerder – en dus wél op tijd – gedetecteerd hebben:

Gelaagde beveiliging

Maar Endpoint Security is helaas niet alles. We benoemden het al: gelaagd werken is nog slimmer. Door niet alleen te vertrouwen op Endpoint Security, maar op verschillende lagen barrières aan te leggen, is de kans groter dat een gehaaide aanval als deze niet onopgemerkt blijft.

Zie het als camera’s die vanuit verschillende hoeken de boel in de gaten houden. Misschien is de ransomware-aanval op camera 1 niet te zien, maar spot camera 2 de aanval wel.

Daarnaast stelt een gelaagde aanpak u in staat aanvallers ook al in eerdere stadia te detecteren. Bijvoorbeeld op het moment dat ze het netwerk betraden. In het geval van de IT-dienstverlener in het praktijkvoorbeeld had goede digitale hygiëne en best practices het verschil kunnen maken.
 

Tot slot: hoe was de schade?

U vraagt zich vast af hoe het voor de organisatie afgelopen is. Gelukkig viel de schade heel erg mee. Dat had er alles mee te maken dat deze IT-leveranciers erg goede back-ups had. Deze zijn niet getroffen door de aanval en waren gewoon bruikbaar. Hoe dat kwam? Toevallig was er op de back-ups dus zo’n eerder genoemde beveiligingslaag toegepast: ze waren volledig buiten het productie netwerk bewaard.
 

Meer weten over ransomware en gelaagde beveiliging?

We kunnen ons voorstellen dat u misschien wat vragen heeft na aanleiding van dit voorbeeld. Neem voor meer informatie over ransomware-aanvalen, Endpoint Security en gelaagde beveiliging vrijblijvend contact met ons op.

Cyber security oplossingen die al een tijd meegaan: daar moeten we kritisch op zijn. Want passen ze nog wel bij het huidige threat-landschap? In dit artikel gaan we dieper in op Endpoint Protection.

Laten we meteen met de deur in huis vallen. Dat Endpoint Protection al een tijdje meegaat, wil in dit geval niet zeggen dat het toe is aan complete vervanging. Sterker nog: Endpoint Protection is belangrijker dan ooit!

Maar de traditionele Endpoint-oplossingen die uitgaan van virusdefinities? Die houden het huidige threatlandschap inderdaad niet meer bij. Ze zijn nog steeds een belangrijk onderdeel van moderne oplossingen: maar cyberaanvallen zijn tegenwoordig te veranderlijk om enkel op de traditionele antivirus te vertrouwen. Het is goed om ook eens te kijken naar moderne vormen van Endpoint Protection.

Allereerst: waarom is Endpoint Protection juist nu zo belangrijk?

1. De hoeveelheid Endpoints groeit

Vroeger was de hoeveelheid Endpoints vaak nog te overzien. Maar met de komst van werktelefoons en daar bovenop nog de thuiswerk-beweging, hebben we te maken met een record aantal Endpoints. Het probleem daarvan? Elk apparaat is een extra aanvalkans voor cybercriminelen.

Hoeveel Endpoints – en dus aanvalkansen – zijn er binnen uw organisatie? Tel het risico maar uit. Zolang een uitgebreid apparatenpark steeds meer de norm wordt, is Endpoint Protection belangrijker dan ooit.

2. Eenvoudig doelwit? Endpoints!

Als het gaat om cyber security krijgen netwerken vaak de meeste liefde, aandacht en actieve controle. Want is een netwerk kwetsbaar? Dan zijn de gevolgen catastrofaal. Endpoints zijn daardoor gevoelsmatig wat ondergeschikt. En juist dat maakt ze een eenvoudig doelwit én – heel ironisch – een potentiële doorgang naar het netwerk. Het gebrek aan Endpoint-controle maakt dat aanvallers vaak (te) laat opvallen.

3. Nog meer groei: stijging in Endpointaanvallen

Cyberaanvallers zijn de grootste innovators: elke keer weten ze weer met nieuwe (massa)aanvalmethodes te komen. Dat doen ze niet voor de lol. Ze doen het omdat het veel oplevert. Zolang cybercrime een lucratieve business blijft, zal het aantal aanvallen alleen maar blijven stijgen. Een jaarlijkse toename in cybercrime is een trend die daardoor niet zomaar verdwijnt. Met name massa-aanvallen zijn steeds vaker zichtbaar. Denk aan bulk malware, ransomware, e-mail phishing en andere veelvoorkomende exploits.

4. Nog eenvoudiger: Endpoints in de handen van mensen

Laat een mens alleen achter met een laptop, tablet of smartphone en risico is gegarandeerd. Niet omdat mensen incapabel zijn. Maar iedereen maakt zo nu een foutje, toch? Helaas is één foutje al genoeg om een datalek in werking te zetten. Een extra vorm van controle en beveiliging is dus extra belangrijk wanneer er een mens aan te pas komt.

Wat voor fouten we het over hebben? Klikken op phishinglinks, onbetrouwbare bestanden binnen halen en ook het installeren van software van derden of het bezoeken van niet-werkgerelateerde websites. Vaak worden die laatste twee ontmoedigd in een securitybeleid. Maar eerlijk? Er is altijd iemand die de grenzen van regels opzoekt.

5. Nieuwe functies, nieuwe gebreken

In deze snelle wereld krijgen apparaten met enige regelmaat updates met nieuwe functies. Van smartphones met verbeterde camerafuncties tot IoT appliances die nóg slimmer zijn gemaakt. Leuk voor de gebruiker, maar niet altijd even leuk voor de security. Dat soort aanpassingen zorgen er regelmatig voor dat er óók weer securityupdates nodig zijn. Meestal komen die wel. Maar wat als ze aan de late kant zijn? Of wat als de gebruiker die update niet op tijd doorvoert?

Let op: ook huidige versies kunnen kwetsbaarheden bevatten. Hoe erg – de meeste – software leveranciers ook hun best doen.

Moderne Endpoint Protection: een muur tegen (massa)aanvallen

De meest moderne Endpoint Protection gaan doorgaans net een stapje verder dan de traditionele antivirus. Die traditionele oplossingen gaan namelijk uit van een threatlijst met virusdefinities. Elke keer gaat de antivirus deze lijst af, op zoek naar iets soortgelijks in een Endpoint.

Het probleem is alleen dat threats zo snel veranderen en ontwikkelen, dat die lijsten nooit 100% actueel zijn. Threats die nog niet bekend zijn komen dus nog altijd door. Slimme Endpoint Protection oplossingen gaan daarom niet uit van zo’n lijst, maar van Artificial Intelligence.

Hoe Endpoint Protection beschermt tegen actuele threats

Endpoint oplossingen die uit gaan van AI kijken naar het “gedrag” van de potentiële bedreiging. Is dat gedrag verdacht of ongewoon? Dan krijgt u een melding. Bijvoorbeeld wanneer er bestanden in een korte tijd versleuteld worden. Dat betekent dat een gloednieuwe aanval die nog bij niemand bekend is, alsnog door de oplossing wordt opgemerkt en tegengehouden.

SentinelOne is Endpoint Protection die met AI werkt. Lees hier meer over hoe SentinelOne werkt en Endpoints beschermt tegen cyberthreats.

Beveilig breed

Toch is het niet verstandig enkel en alleen te vertrouwen op Endpoint Protection. Waar de meesten daar vroeger wel mee weg kwamen, is het threat-landschap daar nu te erg voor veranderd. Aanvallers zijn beter uitgerust dan ooit. De gevaarlijke cybercrime opmars vraagt ons breder te beveiligen. Endpoint Protection blijft een belangrijk onderdeel van die bredere strategie, maar aanvullingen zoals een SOC zijn steeds essentiëler.

Meer weten over Endpoint Protection?

We streven ernaar via onze blogs zoveel mogelijk informatie over cybersecurity te delen. Heeft u toch nog vragen over actuele threats, beveiligingsoplossingen of een van onze diensten? Neem dan vrijblijvend contact met ons op voor meer informatie.

Cloud security en on-premise security: de namen geven al een beetje weg wat de verschillen zijn. Maar: zijn ze wel zo echt zo verschillend? In dit artikel duiken we dieper in het onderscheid.

Cloud security of on-premise security?

Welke van deze twee vormen past het beste bij uw organisatie? Velen hebben daar eigenlijk niet veel in te willen of te kiezen. Waarom? Omdat het volledig samenhangt met de te beveiligen omgeving.  In bijna alle gevallen is er al een bestaande omgeving waar de security op aangepast moet worden. Hoe dat zit? Dat leggen we uit.

Allereerst zijn er 3 soorten omgevingen te onderscheiden:
 

1. On-premise omgeving

De naam zegt het al: hierbij staan de servers in een eigen pand, met alles in eigen beheer. De omgeving is hierdoor enorm goed te overzien: u kan er tenslotte zelf fysiek bij. U moet er natuurlijk wel net de ruimte voor hebben. Daarnaast zijn ook de elektriciteitskosten en het onderhoud voor eigen rekening.

Er is nog een variatie op on-premise: dan staat de server in een datacenter. De server(kast) is zo nog steeds fysiek door u te bereiken en te overzien, maar staat simpelweg in een ander pand.
 

2. Cloud omgeving

Wanneer u computerrekenkracht en serverruimte bij een cloud-provider huurt, maakt u gebruik van een cloud omgeving. De data staat dan wel opgeslagen op serverkasten, maar het is voor u niet zomaar mogelijk deze fysiek te bereiken of te overzien. Bijvoorbeeld omdat ze in een ander land staan. Via een internetverbinding heeft u toegang tot de data. U betaalt maandelijks voor uw gebruik.

Het kan zijn dat u serverkasten deelt met andere afnemers. Koopt u later nog meer geheugen in? Dan is uw cloud omgeving vaak verspreid over meerdere machines.
 

3. Cloud & on-premise

De derde omgeving is een combinatie tussen cloud en on-premise. Organisaties kunnen om meerdere redenen voor deze combinatie kiezen. Bijvoorbeeld omdat ze eerst on-premise begonnen zijn, maar ad-hoc meer geheugen nodig hadden. Dan is een cloud omgeving als aanvulling een snelle oplossing. Tijdelijke uitbreiding kan ook een reden zijn. Of wat dacht u aan een gebrek aan fysieke ruimte voor een extra server?
 

Dan komt de vraag: hoe beveiligt u dat?

In essentie zijn al deze situaties hetzelfde van aard: alle data staat op een machine. Of u huurt die machines (cloud), of u heeft ze zelf gekocht en in uw pand staan (on-premise). Toch verloopt de beveiliging in de praktijk niet helemaal hetzelfde. Vandaar ook de term on-premise security en cloud security.
 

Verschillen in de praktijk: on-premise security

Het geeft velen een fijn gevoel data on-premise te hebben: het maakt alles heel tastbaar. Zo is ook de security tastbaar. Wilt u een firewall? Dan zet u zelf een fysieke firewall ervoor. Gebruik maken van een SOC-dienst? U raadt het al: die implementatie is ook fysiek.

On-premise security gaat alleen wel verder dan Firewalls en SOCs. De beveiliging van de locatie waar uw machines staan is net zo belangrijk. Want wat doet u in het geval van brand? En: hoe voorkomt u dat onbevoegden bij uw servers kunnen komen? Dat laatste brengt een inlooptest in kaart.
 

Verschillen in de praktijk: cloud security

De cloud is een stuk minder goed te vatten. Want is zo’n fysieke firewall wel te plaatsen? Veel verloopt op afstand en virtueel. Een andere uitdaging is data die in de cloud omgeving blijft groeien. Dan is het steeds moeilijker de architectuur te overzien. Beveiligen zonder precies te weten waar data staat is erg lastig.

Het doel en het middel blijft hetzelfde, maar de implementatie van cloud security zit technisch anders in elkaar dan on-prem. Neem een SOC als voorbeeld: in het geval van on-prem zetten we bij u een machine neer die logs verzamelt. In het geval van cloud is de technische inrichting anders. Vaak moet de cloud provider dan technische zaken beschikbaar hebben om koppelingen te maken. Die machines sturen de logs naar de SOC, zodat alles te analyseren valt.

Het klinkt als een gedoe, maar veel securityaanbieders zijn gewend dit snel en goed te regelen. Zo ook IP4Sure. Of u nu cloud- of on-premise security nodig heeft: het is allemaal veilig en goed te implementeren.
 

De echte uitdaging van cloud

De grootste uitdaging die bij cloud omgevingen op de loer ligt, is vooral het “struisvogelen”. Omdat de cloud niet tastbaar is, wordt er niet altijd nagedacht over security. “Dat gebeurt toch al in de cloud?” is dan de opmerking. Verwacht er niet teveel van. Zo krijgt u bijvoorbeeld nooit een melding van Azure dat er verdachte activiteiten zijn in uw cloud omgeving. Dat moet u echt zelf regelen.
 

Dus: on-premise security of cloud security?

Bent u nog in de gelegenheid om een keuze de maken in de soort omgeving die u gaat gebruiken? Maak gebruik van die luxe! In de praktijk ontstaat de architectuur vaak gaandeweg, waardoor de security zich daarop aan moet passen. Maar door al aan de startlijn de behoeften en belangen van uw organisatie te inventariseren, kunt u deze meenemen in uw keuzes. We zien regelmatig managers voorbij komen die dit doen.
 

IP4Sure: implementeert zowel cloud als on-premise security

Wat uw situatie ook is: alle diensten en oplossingen die IP4Sure aanbiedt zijn geschikt voor zowel on-premise als cloudomgevingen. Kennis maken? Neem vrijblijvend contact met ons op!

Phishing: dat het een dreiging is, weet men inmiddels wel. Zowel particulier als zakelijk is het opletten geblazen, want phishingacties liggen continu op de loer. Maar wat doet u er tegen?

De gevolgen van phishing zijn soms absoluut niet te overzien: voorkomen is dus beter dan genezen. Hoe zorgt u voor voldoende bescherming tegen phishing? Welke software is nodig om phishing te voorkomen? Wat biedt de beste bescherming tegen phishing? In dit artikel geven we inside- en out-of-the-box tips. We duiken er meteen in:
 

Wat u en uw collega’s zelf kunnen doen

Eerst geven we een aantal adviezen die vanuit de menselijke kant de gevolgen van phishing kan voorkomen. Later in dit artikel gaan we dieper in op technische oplossingen die bescherming bieden en nóg meer phishing-gevolgen voorkomen.
 

1. Geef collega’s een gevoel van verantwoordelijkheid

Inmiddels zijn de meesten wel op de hoogte van het fenomeen phishing. Het komt tenslotte zo vaak voor, dat niemand er meer aan ontkomt alert te zijn. Zeker wanneer ons eigen geld gevaar loopt, passen we wel op. Maar is iedereen op de werkvloer ook even oplettend?

Neem medewerkers mee in de gevolgen van phishing en hun aandeel in het verhaal. Zij hebben tenslotte allemaal met hun acties invloed op de (on)veiligheid van uw organisatie.
 

2. Blijf de afzender controleren

Waarschijnlijk wist u al dat kwaadwillenden een afwijkend mailadres vermommen met een betrouwbare naam. Bijvoorbeeld door Jan Martens | Bedrijf XYZ” in te stellen, terwijl het mailadres 45wreff@gmail.com is. Maar wist u dat cybercriminelen een stap verder kunnen gaan? Zo ver, dat ook de mailadressen legitiem ogen? Dat doen ze met sub-domains. De afzender grondig controleren is dus geen overbodige luxe!

Blijkt een mailadres betrouwbaar, maar wekt de inhoud van een bericht toch argwaan? Wanneer iemand op een afwijkende manier communiceert, is alert zijn ook belangrijk. Soms maken onjuiste (security)mailinstellingen het voor aanvallers mogelijk te spoofen.  Er kan dan toch sprake zijn van phishing. Trek dus zeker aan de bel.
 

3. Links controleren voordat u erop klikt

Klik nooit zomaar op hyperlinks, ook niet als er gewoon een betrouwbare website staat. Voor velen is deze kennis vanzelfsprekend, maar niet voor iedereen. Met de hyperlink-functie in mailboxen en op websites, is het heel eenvoudig een malafide linkje te verbergen. Kijk zelf maar: www.albertheijn.nl gaat naar onze contactpagina. En deze klik hier gaat naar de website van de politie.

Hoe u van te voren kijkt waar een link naartoe gaat? Gewoon door uw cursor er even boven te houden. Nogmaals: voor velen is dit gesneden koek, maar ga er nooit van uit dat het voor iedereen vanzelfsprekend is. Niet elke generatie is even bekend in IT-land.

Pas wel op: zelfs wanneer een linkadres er betrouwbaar uit ziet, geeft dat nog geen garanties. Zo lijkt www.lp4sure.nl op www.ip4sure.nl. De kans dat gebruikers toch per ongeluk op zo’n goed gecamoufleerde site terecht komen, is dan groter. Controleer dus ook eenmaal op de site zelf of u daar uw inloggegevens in wil vullen.
 

4. Zorg dat iedereen zich veilig voelt

Hackers spelen gehaaid in op de kwetsbaarheden van de mens. Het is bijna niet meer de vraag of iemand ooit in een phishingactie trapt, maar wanneer. Door collega’s niet te straffen voor deze “fout”, maar ze juist aan te moedigen het te melden, bent u er meteen van op de hoogte.

U bent dan ook in staat snel maatregelen te treffen. Hoe later u achter een geslaagde phishing-actie komt, hoe groter de kans dat er bijvoorbeeld al data gelekt is. Collega’s die direct aan de bel durven te trekken, voorkomen dus nog een hoop extra ellende.
 

Technologie en software om phishing te voorkomen

5. Voorkom phishing met software

Phishing voorkomen door collega’s goed te informeren is één stap. Maar mensen blijven mensen. Iemand hoeft maar één keer een slechte nacht te hebben en het kwaad kan al geschied zijn. Software is dan een stuk beter te vertrouwen. Zo maakt Check Point Harmony Email and Office mails vrij van verdachte linkjes en bestanden, vlak voordat ze in uw inbox belanden. Effectieve preventie dus.
 

6. Detecteer onverhoopte binnendringers op tijd

Bovenstaande maatregelen bieden al goede bescherming tegen phishing. Maar blijf alert: aanvallers blijven inventief en vernieuwend. Lukt het ze niet op de ene manier? Dan zoeken ze wel weer een andere weg om op uw netwerk te komen. Het is dan zaak ze te detecteren voordat er (veel) schade is aangericht. Een Security Operations Centre (SOC) meldt verdachte activiteiten. Het is de alarmcentrale van uw digitale omgeving.
 

Tot slot: onderschat aanvallers niet

7. Weet dat phishing ook gericht kan zijn

Bij phishing denkt men vaak aan phishingberichten die naar Jan en alleman worden gestuurd. Denk aan de smsjes van ING terwijl u bij de Rabobank zit, bijvoorbeeld. Maar zeker in het geval van organisaties, kunnen aanvallers zeer gericht te werk gaan. Zo kunnen ze zich voordoen als iemand binnen de organisatie, slim inspelen op actualiteiten binnen de branche of zelfs CEO’s verleiden toegang te geven.
 

Bescherming tegen phishing gaat verder dan de mens

Uw organisatie écht beschermen tegen phishing? Door uw collega’s in te lichten en te trainen, komt u al een heel eind. Maar – zo goed als – zorgeloos werken, is zonder technische oplossingen bijna niet meer mogelijk. Phishing komt tenslotte zowat dagelijks voor.

Wilt u kennis en advies van een Security-expert? Neem dan vrijblijvend contact met ons op voor uw vragen over het voorkomen van phishing.

“Op maat” klinkt altijd beter dan pre-built. In veel gevallen gaat dat ook op. Maar is het echt van noodzaak dat een SOC álle use cases op maat bouwt?

In dit artikel gaan we dieper in op de verschillen tussen use cases op maat en pre-built use cases. Ze hebben beiden hun eigen voor- en nadelen. Niet elke SOC biedt beide opties aan, dus het is handig te weten wat bij de securitybehoeften van uw organisatie past.

Lees hier meer over het kiezen van een SOC.
 

Wat zijn use cases?

Allereerst: wat zijn use cases precies? In het kort zijn dit instellingen waarmee de SOC bepaalt wanneer en waarvan er een melding komt. Zo zou veel accounts die tegelijkertijd in proberen te loggen op een apparaat een use-case kunnen zijn: dit is (in de meeste contexten) verdachte activiteit. Dan is een melding interessant.

Vaak stelt een SOC samen met u vast wat – voor uw organisatie – relevante use cases zouden zijn.
 

Custom use cases

Zoals de naam al doet vermoeden, zijn custom use cases volledig op maat gemaakt. De SOC neemt hierbij de moeite om “vanaf 0” een use-case te programmeren en werkend te krijgen in de SIEM-software. Jarenlang waren custom use cases de enige optie bij SOC-diensten.

Dat is prima wanneer u hele specifieke (niche) use cases verlangt: dan is maatwerk altijd het geld waard. Maar wat als uw securitybehoeften generieker van aard zijn? Of wat als u een grote hoeveelheid use cases nodig hebt? Bij SOCs met een traditioneel model betaalt u ook in die gevallen maatwerktarieven.
 

Pre-built use cases

Elke organisatie heeft in grote lijnen andere securitybehoeften. Dat betekent alleen niet dat elke organisatie compleet verschillende use cases verlangt. In de praktijk is er altijd overlap. Daar spelen de pre-built use cases op in: sommige SOCs gebruiken SIEM-software waarin deze vooraf zijn ingebouwd.

Op die manier hoeven klanten geen maatwerk tarieven te betalen voor een wiel dat vaker uitgevonden is. De use cases liggen al klaar. Bij een aantal SOCs betaalt u zelfs niets extra voor alle pre-built use cases. Zo kiest u bij de IP4Sure SOC onbeperkt uit de pre-built use cases.
 

Wat is voor mij geschikt?

Pre-built use cases zijn ideaal voor de securitybehoeften die vaker voorkomen. Maatwerk is handig voor specifieke eisen. Helder. Maar hoe weet u of er pre-built use cases zijn van de meldingen die u nodig hebt? We hebben een document opgesteld met daarin een groot aantal pre-built use cases die de IP4Sure SOC aanbiedt. Zo ziet u in vogelvlucht voor welke use cases er dus geen onnodig maatwerk nodig is.

Interessant om te weten: Rapid7 (de maker van onze SIEM-software) onderzoekt de werkwijze van hackers om daar pre-built use cases op te baseren. Deze use-cases detecteren acties uit de beginfase van een aanval. Hiermee is onze SOC in staat hackers vaak sneller in een vroeg stadium te betrappen.
 

Implementatietijd

Een andere factor waaraan u kan meten wat bij u past, is de duur van de implementatie. Logischerwijs kost maatwerk tijd. In sommige gevallen kan het weken of zelfs maanden duren tot een SOC u volledig van dienst is. Dat terwijl SOCs die gebruik maken van pre-built use cases soms al binnen 2 dagen geïmplementeerd zijn.
 

Dus: pre-built of custom?

Tegenwoordig is dit niet altijd meer een “of” vraag. Ja, er zijn nog traditionele SOCs die enkel custom use cases bieden, maar er zijn inmiddels ook SOCs die beiden doen. Het een sluit het ander dus niet uit. Kiest u voor een SOC met pre-built use cases, maar heeft u in de toekomst toch maatwerk nodig? De IP4Sure SOC combineert pre-built regelmatig met custom.
 

Meer inzicht, en minder concessies

Nu maatwerk niet overal meer de standaard is, zijn concessies ook minder vaak nodig. Bij maatwerk gaan de tarieven tenslotte al snel woekeren, waardoor het niet mogelijk is een heleboel use cases te laten bouwen. Pre-built use cases geven voor hetzelfde geld een stuk meer inzicht.
 

In gesprek over de IP4Sure SOC?

Neem vrijblijvend contact met u op om te onderzoeken of de IP4Sure SOC bij u past. Mail of bel ook gerust voor andere vragen over cybersecurity.

IT Security en Informatiebeveiliging: het klinkt ongeveer hetzelfde. Tenslotte hebben ze beiden het doel gevoelige gegevens te beschermen tegen datalekken. Toch zijn ze niet identiek.

Het belang van data bescherming

Anno 2021 is het eigenlijk niet meer nodig uit te leggen waarom IT Security en Informatiebeveiliging zo belangrijk zijn. De waarde van data is tenslotte groter dan ooit: criminelen leggen hun handen dus maar al te graag op vertrouwelijke (persoons)gegevens.

Daarnaast heeft de aangescherpte wet AVG de plicht om klantgegevens te beschermen nog zwaarwegender gemaakt. De gevolgen van een datalek zijn daarmee zelden nog te overzien. Met IT-Security en Informatiebeveiliging voorkomt u dat derden de kans hebben in de buurt van vertrouwelijke bestanden te komen.
 

IT Security & InfoSec: de verschillen

De twee methodes focussen zich op hetzelfde: het veilig stellen van uw data. Datalekken of datadiefstal voorkomen. Toch hebben we het niet over dezelfde aanpakken. Dat is wat IT-Security van Informatiebeveiliging onderscheidt: de werkwijze en focus.
 

Wat is Informatiebeveiliging?

Binnen een organisatie is vaak enorm veel data te vinden. Vroeger was alles te vinden in dossierkasten, mappen en notitieboekjes. Tegenwoordig staat het merendeel digitaal opgeslagen. Informatiebeveiliging stamt al uit de tijd dat data nog niet op een harde schijf stond. De term refereert naar de bescherming van informatie in zijn geheel. Informatiebeveiliging benadert databescherming onder anderen vanuit een procesmatige hoek. Zo is de welbekende “Clean Desk Policy” geboren in de informatiebeveiliging-wieg.
 

Wat is IT Security?

IT-Security richt zich op het veilig stellen van digitale gegevens (met behulp van techniek). Computernetwerk security dus. Een IT Security expert inventariseert waar welke digitale data staat opgeslagen, wie erbij kan en hoe kwetsbaar het is. Aan de hand daarvan implementeert de expert oplossingen die uw organisatie beschermen tegen digitale datadiefstal of andere vormen van cybercrime.

Een expert in informatiebeveiliging is niet per definitie ook een IT Security expert. Maar er zijn wel plekken waarin IT-Security en InfoSec overlappen. Zo neemt een IT-Security expert vaak de toegankelijkheid van bijvoorbeeld een serverruimte mee in de risico-analyse. De fysieke beveiliging van deze plek, waarborgt de veiligheid van de digitaal opgeslagen data.
 

Dezelfde basisvraagstukken

Hoe kwalificeren we welke data het meest belangrijk is voor ons als bedrijf? En hoe beveiligen we die data?  Het komt erop neer dat IT Security en InfoSec zich beiden richten op het veilig stellen van belangrijke data. Het is dus niet gek dat allebei de termen over de tafel vliegen wanneer u in gesprek bent met een cybersecurity expert.
 

De groeiende rol van IT Security

Hackers zijn actiever dan ooit. Organisaties moeten tegenwoordig niet alleen zorgen voor sterke fysieke beveiliging, maar ook een solide digitale omheining. Écht goede digitale bescherming is echter ingewikkeld. Dat maakt IT Security een belangrijk specialisme.

Het digitale landschap verandert sneller dan ooit: IT Security experts blijven daarom continu op de hoogte van deze veranderingen. Zo helpen ze organisaties met het tegenhouden van online bedreigingen die de veiligheid van uw data in gevaar brengen.
 

De IT Security subtypen

Binnen de IT Security kennen we een aantal subtypen: internet security, netwerk security, endpoint security, cloud security en app security. Zoals de namen al doen vermoeden richten ze zich op de beveiliging van verschillende onderdelen binnen uw digitale infrastructuur.
 

Internet beveiliging

Dit security subtype richt zich – u raadt het al – op de bescherming van informatie die verzonden en ontvangen wordt via het internet. Denk hierbij aan verkeer via browsers, maar ook aan webgebaseerde toepassingen. Internet security oplossingen controleren internetverkeer op ongewenste zaken zoals malware: firewalls en anti-malwaresoftware zijn goede voorbeelden van deze oplossingen.

Netwerk beveiliging

Niemand wil (kwaadwillende) ongeautoriseerde gebruikers op zijn netwerk. Netwerk security voorkomt dat de betrouwbaarheid en integriteit van uw netwerk gewaarborgd blijft door te voorkomen dat hackers toegang krijgen. Want krijgt een hacker toegang? Dan heeft hij ook toegang tot vertrouwelijke gegevens en zijn ze in staat van binnenuit uw organisatie negatief te beïnvloeden.

Endpoint beveiliging

Hoe meer endpoints (apparaten), hoe uitdagender het veiligstellen van een netwerk is. Endpoint security richt zich op bescherming op apparaatniveau. Vaak is een organisatie verbonden met meer apparaten dan u in de eerste instantie denkt. Smartphone, laptops en computers: het zijn allemaal endpoints. Endpoint security voorkomt dat deze apparaten verbinding maken met andere netwerken die potentieel een bedreiging vormen.

Cloud beveiliging

Dan hebben we nog cloud security: het subtype dat vooral het laatste jaar flink gegroeid is. We werken steeds meer vanuit de cloud. Dat maakt organisaties flexibel, maar ook kwetsbaar. Gebruikers maken direct verbinding met het internet, zonder de traditionele bescherming van de security stack. Het gebruiken van SaaS-software kent risico’s: cloud security vangt deze zoveel mogelijk op. Dat is nodig, want door het Shared Responsibility Model bent u als organisatie ook aansprakelijk wanneer er iets mis gaat.

App beveiliging

Afsluitend is er nog security op applicatie-niveau. Websites en applicaties zijn vaak kwetsbaar voor aanvallers. Het is daarom belangrijk dat al bij het programmeren rekening wordt gehouden met security. En is dat niet gebeurd? Specialisten in app security adviseren hoe dan ook uw (web)applicaties regelmatig te laten controleren op kwetsbaarheden. Bijvoorbeeld met een pentest.
 

IT Security: spreek een expert

Heeft u vragen over informatiebeveiliging of IT Security? Of wilt u graag advies over het beveiligen van de digitale infrastructuur van uw organisatie? Neem dan vrijblijvend contact met ons op en spreek met één van onze experts. IP4Sure helpt uw cybersecurity naar een hoger niveau te tillen.

Software as a Service (SaaS) is al een lange tijd bezig met een flinke opmars. Logisch, want SaaS applicaties zijn ontzettend handig. Zo kost implementatie weinig tijd omdat de applicatie toegankelijk is via het internet. Ook heeft u vanaf elk apparaat toegang tot uw data.

Daar komt meteen het security vraagstuk omhoog: hoe weet ik zeker dat mijn data veilig is bij deze SaaS diensten en niemand anders erbij kan? Moet ik de SaaS applicatie die ik gebruik vertrouwen op hun securitybeleid, of kan ik zelf nog extra securitymaatregelen treffen? We geven antwoord.
 

Allereerst: wie is er verantwoordelijk als er iets mis gaat?

Naast toegankelijkheid is het andere grote voordeel van een SaaS oplossing dat de app-ontwikkelaars zich ook ontfermen over de security. Is er een kwetsbaarheid? Dan is de kans groot dat de SaaS leverancier hier zelf mee aan de slag gaat. Toch geldt dit niet voor elke SaaS applicatie. Zij kiezen zelf wat ze kunnen en willen bieden op het gebied van cyber security (let hier extra op bij leveranciers uit niet-Europese landen).

Niet alleen om die reden is het slim om zelf goed stil te staan bij de security van een SaaS aanbieder. Een andere reden is namelijk dat u verantwoordelijk blijft voor uw data. Dus gaat er iets mis? Dan ligt de verantwoordelijkheid nooit bij de eventueel nalatige SaaS dienst, maar bij u als organisatie.

Meer hierover weten? Lees dan dit artikel van onze partner Check Point over het Shared Responsibility model.
 

Hoe maakt u veilig gebruik van SaaS applicaties?

Veilig aan de slag gaan met SaaS oplossingen start met het opzetten van een security-bril tijdens de keuze ervan. Ja, er zijn mogelijkheden om van buitenaf invloed te hebben op de security van uw data binnen een SaaS dienst. Maar logischerwijs wilt u in de eerste plaats samenwerken met een betrouwbare SaaS leverancier.
 

Actuele security test

SaaS applicaties die hun cybersecurity écht serieus nemen, hebben geregeld het rapport van een recente securitycheck (zoals een pentest) voor u klaarliggen. Zo koos Tech2B vorig jaar nog voor een pentest: niet alleen om hun applicatie te verbeteren, maar ook om aan hun klanten te bewijzen hoe veilig ze zijn.

Om te inventariseren hoe het met de security van een SaaS oplossing zit, is het dus raadzaam informatie op te vragen bij de partijen die u op het oog hebt. Slaan ze de data encrypted op?  Gebruiken ze 2FA of MFA? Daar hangt natuurlijk aan vast dat uw organisatie ook gebruik maakt van die MFA en veilig omgaat met de inloggegevens en accounts.
 

Hoe zorgt u zelf voor extra security?

Bent u kritisch geweest in de keuze van uw SaaS oplossing? Mooi, dan is de tweede stap het controleren van de security instellingen. Veel SaaS applicaties bieden extra beveiligingsmaatregelen. Denk bijvoorbeeld aan “Logging en Alerting”: SaaS leveranciers geven hiermee een melding bij verdachte activiteit. Bijvoorbeeld een login poging vanuit een ander continent.
 

Maak gebruik van best practices

Maar dat is niet het enige: met een beetje geluk is er – naast MFA – een hoop in te stellen op het gebied van security. Maak zeker gebruik van die opties en zoek best practices op. Het is uw verantwoordelijkheid dat u de extra instellingen die de applicatie mogelijk maakt goed gebruikt.

Zo heeft u bij sommige SaaS applicaties de “IP whitelisting” optie. Hiermee stelt u zelf in vanuit welke IP-adressen gebruikers mogen inloggen. Werken ze vanaf een ander IP-adres? Dan komen ze er niet in. Dit maakt het voor aanvallers lastiger in te loggen. Al biedt het geen garanties: hackers kennen slimme manieren om hieromheen te werken.

Over security instellingen gesproken: lees hier hoe u de security instellingen van Office365 flink aanscherpt. Er zijn namelijk wat opties die velen over het hoofd zien.
 

Harmony Email and Office

Wist u dat ruim 50% van de SaaS-datalekken ontstaan zijn door account takeovers? Om u extra bescherming te bieden, heeft Check Point de Harmony Email and Office oplossing ontwikkeld. Deze software verkleint niet alleen de kans op account takeovers, maar ook:
– Malware en zero-day bedreigingen
– Geavanceerde phishing aanvallen op e-maildiensten
– Diefstal van shared files en gevoelige bedrijfsinformatie

Hoe? Harmony Email and Office maakt onder anderen de mails die u via SaaS e-maildiensten binnen krijgt vrij van schadelijke links en bestanden. U leest meer over Harmony Email and Office van Check Point op deze pagina.
 

Dus: waar moet u op letten bij SaaS security?

SaaS applicaties zijn te handig om ze niet te gebruiken. Bijna elke organisatie heeft er minstens één in gebruik: denk aan Office365 bijvoorbeeld. Er zijn dus maar weinig organisaties die niet te maken hebben met het belang van SaaS security.

SaaS aanbieders nemen gelukkig over het algemeen de nodige security maatregelen, maar dat hoeft niet altijd het geval te zijn. Daarnaast kan het zijn dat u als organisatie andere security-behoeften hebt die niet overeen komen met de maatregelen van de SaaS ontwikkelaar. Let dus altijd op het volgende:

• Hoe essentieel is het dat u deze SaaS applicatie gebruikt?
• Welke security maatregelen heeft de ontwikkelaar genomen? Is daar bewijs van? Is er bijvoorbeeld een recente pentest om in te zien?
• Heeft u alle security instellingen binnen de SaaS applicatie naar behoefte ingesteld?
• Is uw organisatie in staat veilig om te gaan met accounts? (Geen generieke accounts hergebruiken, etc.)
• Welke data wilt u onderbrengen bij deze leverancier? Wat is essentieel?
• Welke risico’s neemt u door deze data op te slaan bij deze SaaS dienst?
• Heeft u al extra beschermende maatregelen zoals Harmony Email and Office genomen?

Advies nodig bij SaaS security?

Zeker wanneer u het belangrijk vindt dat applicaties flexibel beschikbaar zijn voor uw medewerkers en collega’s zijn SaaS diensten een ideale oplossing. Wilt u zeker weten dat u alles zo veilig mogelijk gebruikt? Onze security experts helpen u graag met het op orde brengen van uw SaaS-beveiliging.

Neem contact met ons op of bekijk onze producten en diensten.

Een SIEM die al een lange tijd geen security incidenten meldt: dat zou een veilig gevoel moeten geven. Toch? Geen incidenten, geen gevaar. In de praktijk zien we soms dat een SIEM zonder meldingen juist onrust geeft. Want hoe kan het zo stil zijn?

Werkt de SIEM software nog wel? Of hebben we gewoon geen SIEM nodig omdat onze security blijkbaar op orde is? Zijn we nu onnodig geld aan het uitgeven? Het zijn allemaal vragen die op kunnen komen. Logisch, want het is belangrijk om security budgetten goed te besteden én zeker te weten dat het allemaal werkt.

Geen meldingen? Dan bent u goed bezig

Toch is een gebrek aan meldingen meestal een goed teken. Zeker wanneer u het monitoren van meldingen overlaat aan een gespecialiseerde SOC, is het hebben van geen meldingen een bevestiging dat u uw security op orde is. Dat er écht geen incidenten zijn binnen de dekkingsgraad van uw SIEM.

Mijn SIEM geeft geen meldingen meer: is er toch iets aan de hand?

Het is nooit de bedoeling dat u twijfelt over uw SIEM. Het volgende kan het geval zijn:

1. De SIEM software is niet dekkend geconfigureerd

Maakt u gebruik van SIEM software zonder een SOC-dienst? Dan is het goed te achterhalen of uw SIEM (nog) wel dekkend is geconfigureerd. Zijn er systemen bijgekomen die u misschien nog niet monitort? Misschien staan er instellingen verkeerd? Misschien wordt de data niet meer succesvol gelezen (een goede SIEM oplossing heeft de mogelijkheid alarmen te configureren wanneer dit het geval is). Neem in deze gevallen zeker contact op met de leverancier van uw SIEM-software.

Ben ook alert op de dekkingsgraad van uw SIEM. Wat voor use cases gebruikt u? Verwacht geen meldingen van onderdelen die niet gedekt zijn door uw SIEM-software.

2. Er zijn echt geen meldingen

Werkt u samen met een goede SOC? Dan is de kans groot dat er echt geen meldingen zijn. De securityexperts die de SIEM monitoren zetten tenslotte alleen de “echte” meldingen door en filteren de “false positives” er voor u uit. Zij houden voor u in de gaten of alles goed is ingesteld. Meldingen die ontstaan zijn door een fout van een gebruiker of het systeem dat nog moet leren wel gedrag wel/niet mag krijgt u als eindgebruiker nooit te zien.

Of een tijdelijk gebrek aan meldingen een reden is te stoppen met een SIEM/SOC? Nee. Een incident kan altijd opduiken. Dan is het belangrijk dat u er op tijd van op de hoogte bent en er meteen mee aan de slag kan.

Bovendien heeft u dan de informatie voorhanden om te herleiden wat er nu precies gebeurd is. Schakelt u een SIEM in nadat het incident heeft plaats gevonden, dan mist u uiteraard deze cruciale informatie.

Overweeg een SOC-dienst

Een Security Operations Center (SOC) ontzorgt u volledig. Zo bouwt een SOC een alarm in die af gaat wanneer er een x aantal tijd geen data meer is ontvangen door uw SIEM. Een gebrek aan data betekent namelijk dat er iets mis is met de service. Bij de SIEM-software die IP4Sure SOC gebruikt – InsightIDR – zit deze alarmfunctie standaard ingebouwd.

Met een SOC hoeft u ook geen false positives door te spitten, want die filteren wij er al uit. U ontvangt rapportages waarin de échte incidenten staan. En zijn er geen incidenten? Dan dienen de rapportages als een interactiemoment dat bevestigt dat alles goed is. En dan is alles ook écht goed. IP4Sure gebruikt SIEM-software waar standaard al meer dan 100 use cases in zitten. De dekkingsgraad en het overzicht over uw infrastructuur is dus ontzettend groot.

Het is bijna niet voor te stellen, maar een airco op het dak kan cybercriminelen al toegang geven tot uw netwerk. Is de airco verbonden met het internet? En is de firmware verouderd? Dan weet een hacker al genoeg.

Cybercriminelen richten zich niet alleen op bedrijven, ook individuen zijn een interessant doelwit. Zeker de afgelopen tijd zijn er ontzettend veel phishing-acties gericht op de particulier en zijn burgers vaker slachtoffer. In dit artikel geven we cyber security tips die u direct zelf thuis toe kan passen voor een betere beveiliging.

Als particulier slachtoffer geworden van een cybercrimineel? Ons Cyberlab-team helpt u graag.

Tip 1: Blijf ver van basisinstellingen en fabriekswachtwoorden vandaan

Past u bij de aanschaf van een nieuw apparaat altijd de basisinstellingen en wachtwoorden aan? Voor hackers zijn deze standaard instellingen gelijk aan open deuren. Het is geen onbekend fenomeen dat het veranderen van standaardwachtwoorden als “0000” nog wel eens wordt vergeten. Aanvallers vinden het dan ook zeker het proberen waard te kijken of ze via een airco of wifi-router met basisinstellingen binnen kunnen komen. Pas ze daarom altijd meteen aan.

Tip 2: Ga voor sterke, wisselende inloggegevens

Bent u bezig met het veranderen van de standaardwachtwoorden van alle apparaten? Loop dan direct alle andere inloggegevens na. Met name de credentials die eventueel toegang geven tot bankzaken of andere gevoelige data moeten sterk zijn.

Het is geen geheim dat sterke wachtwoorden bestaan uit kleine letters, hoofdletters, cijfers en leestekens. Toch zien we in de praktijk dat vaak voor gemak wordt gekozen. Denk aan wachtwoorden als “wachtwoord123”. Ga nooit voor gemak en kies voor lange (minimaal 20 tekens) en onvoorspelbare wachtwoorden die regelmatig veranderen.

Hoe snel weten hackers uw wachtwoorden te achterhalen? Doe hier de wachtwoord kraaktest. 

Tip 3: Regel een gastnetwerk (gast-wifi)

Kunnen uw gasten toegang krijgen tot uw printers, vertrouwelijke documenten en andere onderdelen van uw digitale omgeving? Als ze gebruik mogen maken van uw reguliere wifi-netwerk, is het antwoord daarop ja. Een gastnetwerk is zeker geen overbodige luxe. Met een aparte wifi voor gasten weet u namelijk zeker dat externen toegang krijgen tot enkel een internetverbinding en meer niet.

Tip 4: Voer regelmatig updates uit

Verouderde versies van applicaties en firmware zijn kwetsbaar. Ontwikkelaars van software en apparaten stellen niet voor niets regelmatig (beveiligings)updates ter beschikking. Controleer daarom regelmatig op updates en voer ze direct uit.

Helaas komt het nog te vaak voor dat er cyberongevallen ontstaan doordat veel te oude versies van software worden gebruikt. Voorkom dat u op deze manier slachtoffer valt, want het is absoluut niet nodig.

Tip 5: Maak nooit gebruik van openbare wifi-spots

Openbare netwerken zijn vaak slecht beveiligd. Sterker nog: sommige hackers hebben zelfs de tactiek met hun eigen router op pad te gaan. Zij zetten dan een nep-netwerk met een betrouwbare naam als “WiFi McDonalds” op in de hoop dat mensen verbinding maken. Daarmee krijgen ze toegang tot meer dan u lief is.

De oplossing is gelukkig eenvoudig: gebruik voortaan een eigen mobiele hotspot.

Tip 6: Installeer software niet zomaar

Er is allerlei (gratis) software op de markt die zomaar een bedreiging zouden kunnen vormen. Dit geldt overigens al helemaal voor apps. Lang niet alle apps in de Play- of Applestore zijn veilig. Nog te vaak blijken spelletjes voorzien te zijn van kwaadaardige scripts die toegang geven tot allerhande gegevens. Ben kritisch op wat u installeert. En al helemaal op de telefoonfuncties waar een app toegang tot vraagt.

Ben hier vooral voorzichtig mee wanneer u gebruik maakt van een telefoon of laptop van uw werkgever of organisatie. Een goede regeling is dat het installeren van software van derden altijd eerst overlegd moet worden met een IT- of securitymanager, bijvoorbeeld.

Houd uw hoofd erbij!

Het opruimen van onnodige kwetsbaarheden verhoogt uw cyberveiligheid thuis tot op zekere hoogte. Maar zolang aanvallers nog steeds in staat zijn geloofwaardige phishing-acties op te zetten, is dat helaas niet voldoende. Meer dan 50% van de cyberaanvallen thuis hebben een poging tot phishing als bron.

Houd daarom uw hoofd er altijd bij en leer phishing-acties of andere cyberaanvallen te herkennen.

Het komt bij veel organisaties voor: ze investeren in een uitgebreid advies van een externe partij, maar uiteindelijk belandt de securitytest toch ongebruikt in de bureaulade. Puur omdat andere gang van zaken urgenter aanvoelen. Hoe zorgt u ervoor dat de verbeteringen daadwerkelijk worden doorgevoerd?

Het verhogen van cyberweerbaarheid start altijd met inzicht. Een Pentest, Vulnerability Assessment, Inlooptest of Security Audit geeft handvaten om de cybersecurity van een organisatie doeltreffend te verbeteren. Omdat cyberveiligheid iets is dat nooit in de bureaulade terecht mag komen, geven we wat tips om er zeker van te zijn dat de cybersecurity verbeteringen daadwerkelijk worden opgepakt.

Zelf securitytest bevindingen oplossen

Wat u zelf nog kan doen om ervoor te zorgen dat plannen of testuitslagen voortaan niet ongebruikt in een bureaulade verdwijnen? Laten we dieper in gaan op een handig stappenplan waarmee u de implementatie van cybersecurity verbeteringen na een securitytest waarborgt:

1. Plan een evaluatie voor de securitytest

Het is hoe dan ook een aanrader een evaluatie in te plannen. Niet alleen om na te gaan of het proces naar wens is gelopen: ook om samen actief bezig te zijn met de resultaten uit de test. Vaak verhoogt het de motivatie om er daadwerkelijk iets mee te doen. Daarnaast weet u zeker dat iedereen op de hoogte is van de situatie wanneer er een gezamenlijke evaluatie plaats vindt.

2. Maak de evaluatie inhoudelijk

Laat de evaluatie tellen en leg niet alleen een vergrootglas op het proces, maar ook de resultaten. Wat is de impact van de bevindingen op uw organisatie? Wat vindt u ervan? Is het een verrassing? Kunnen er al conclusies getrokken worden uit de bevinden over achterliggende oorzaken?

3. Evalueer met interne betrokkenen en de opdrachtnemer

Ga niet met een te kleine groep om de tafel zitten. Betrek iedereen die betrokken is bij de securitytest én het verhelpen van de bevindingen in het gesprek. Zo kan iedereen nog vragen erover stellen. Als uw securityteam goed snapt wat de opdrachtnemer bedoelt in de rapportage, is de kans dat ze aan de slag gaan met de bevindingen groter.

4. Verdeel de componenten per verantwoordelijke

Afhankelijk van hoe uitgebreid de securitytest was, is het handig van te voren te bekijken welke componenten om verbetering vragen. Vaak is het ene team verantwoordelijk voor de infrastructuur en het andere voor de applicaties. Sommige componenten kunnen zelfs uitbesteed zijn aan een externe partij.

Maak duidelijk wie verantwoordelijk is voor welke verbetering. Door dit soort afspraken te maken, pakt iedereen sneller zijn of haar verantwoordelijkheid om de oplossingen door te voeren. Het werk is verdeeld en u weet precies wie u aan moet spreken voor updates over de stand van zaken.

5. Voer de korte termijn verbeteringen direct uit

Als het goed is, staat in de securitytest een classificering van alle verbeterpunten. Ga direct met de belangrijksten aan de slag, zodat u weet dat de grootste bedreigingen zéker uit de weg zijn geruimd. Overleg eventueel tijdens de evaluatie al welke stappen er nodig zijn om direct in actie te komen. Monitor het proces door nog een extra evaluatiemoment in te plannen.

6. Zet verbeterpunten voor de lange termijn in de agenda

De meeste organisaties voelen de ernst van het oplossen van korte termijn verbeterpunten wel. Die krijgen doorgaans vrij snel aandacht. Maar die lange termijn punten? Die verdwijnen pas écht vaak in de bureaulade.

Verlies deze dan ook niet in het oog en stippel een lange termijn roadmap uit. Zet deze direct in de agenda’s van de verantwoordelijken. Informeer tussentijds of ze eraan toe komen de oplossing te implementeren.

7. Controleer of alles is opgelost

Zet desnoods ook in uw eigen agenda een herinnering dat u zo nu en dan moet vragen of alle verbeterpunten al zijn nagelopen. Werkt een post-it met “securitytest monitoren” op uw beeldscherm beter? Ga dan zeker voor die optie! Zorg ervoor dat u bovenop het proces blijft zitten.

8. Zet een hertest op de planning

De allerbeste stok achter de deur om verbeteringen door te voeren, is toch wel het plannen van een tweede securitytest. Door meteen een tweede test af te spreken met een externe partij, heeft u een deadline om naartoe te werken. Een hertest werkt vaak heel motiverend, omdat iedereen natuurlijk wil dat die tweede test laat zien dat alles is opgelost.

9. Maak securitytests een vast onderdeel in het securityprogramma

Is een test een terugkerende aangelegenheid? Dan neemt het team het verhelpen van bevindingen van zo’n securitytest vaak sneller serieus. Door hierbij samen te werken met een vaste security opdrachtnemer, vereenvoudigt u dit systematische proces. Daarnaast blijft u structureel op de hoogte van de cybergezondheid van uw organisatie én bouwt u aan een stevige digitale omgeving.

Advies of hulp nodig?

Zou u graag ondersteuning willen bij het toepassen van de verbeteringen uit een securitytest? Neem dan vrijblijvend contact met ons op voor een kennismaking.

Zit er verschil tussen de ene en de andere Managed SIEM/SOC? En hoe kiest u er een die bij uw organisatie past? In dit artikel geven we tips bij het kiezen van een SOC-dienst.

“Data is de nieuwe olie” is een uitspraak die steeds vaker te horen is. Data is goud waard. En hoe meer data, hoe beter. Cybercriminelen hebben logischerwijs al hun pijlen gericht op organisaties die veel data verwerken. Met veel geduld doorzoeken ze uw netwerken en systemen, op zoek naar een ingang. En vinden ze die? Dan slaan ze toe. Soms zonder dat u het zelf door hebt.
 

Een SOC meldt calamiteiten

Daarom is het zeker nu belangrijk precies te weten wat er zich allemaal afspeelt binnen de digitale infrastructuur van uw organisatie. Met een Managed SIEM – ook bekend als SOC – hebt u precies in de gaten wat er gebeurt binnen uw systemen en netwerken. En is er een calamiteit? Dan is het op tijd bekend.
 

Wat is een SIEM?

De afkorting SIEM staat voor “Security Information & Event Management”. Daarmee is SIEM een tool die alle verdachte activiteiten op uw netwerk en systeem traceert en registreert. De tool helpt actief met het creëren van inzicht in alle gebeurtenissen binnen uw digitale infrastructuur. En dat inzicht? Dat helpt u weer met het versterken van uw IT Security.

Het ding is alleen: wie interpreteert die gebeurtenissen? En wie komt in actie bij een verdachte activiteit?

Veel bedrijven hebben geen of een kleine security afdeling. Ideaal gezien zetten deze experts hun kennis en kunde in om de security architectuur binnen uw bedrijf actief te verbeteren. Want eerlijk: wilt u dat uw getalenteerde medewerkers al hun tijd steken in het interpreteren van de informatie die een SIEM levert?
 

Een Managed SIEM, ook wel een SOC

Precies om die reden is een externe Managed SIEM – of SOC-dienst – een ideale uitkomst. Zo hoeft u zichzelf niet bezig te houden met het interpreteren van de logs, maar doen externe security experts dat. Zij kijken wat voor activiteiten er plaats vinden, halen de false postives eruit en maken pas een melding bij daadwerkelijke security incidenten. Zo hoeft uw team zich niet bezig te houden met valse meldingen, maar komen ze alleen in actie bij het echte werk.

En heeft u helemaal geen eigen security team? Dan is het ook mogelijk dat de externe SOC de incidenten direct zelf oplost.

De voordelen van een Managed SIEM/SOC:

• Inzicht in security incidenten
• Daarmee de mogelijk (pro)actief in te grijpen
• Daardoor een lager risico op datalekken en cyberaanvallen
• Kortom: een snelle diagnose en oplossing

Het SOC van IP4Sure biedt nog een extra voordeel: we geven advies in het verbeteren van uw netwerk. Valt ons iets op? Dan helpen we u met het verhelpen van deze kwetsbaarheden. Zo hebt u niet alleen inzicht, maar verbetert uw security gaandeweg aanzienlijk. Door de efficiënte SIEM-software die we gebruiken (InsightIDR), is onze SOC nog altijd goedkoper dan de meeste traditionele SOCs.
 

6 zaken om op te letten bij de keuze van een Managed SIEM/SOC-dienst

1. In hoeverre ontlast de SOC/Managed SIEM?

Zeker wanneer u zelf geen (grote) security afdeling hebt binnen uw bedrijf, is het belangrijk na te gaan in hoeverre de SOC-dienst u ontzorgt. Hoe ver gaat de Managed SIEM in het maken van een risico-inventarisatie per incident? Zetten ze meldingen door, of geven ze ook advies bij de oplossing ervan? Of wilt u dat de Managed SIEM zelf in actie komt bij elk incident en het incident response compleet uit handen neemt?
 

2. Hoe kundig zijn de security experts die de SIEM monitoren?

Aanvullend op het eerste punt, is het interessant om op de hoogte te zijn van de achtergrond die de specialisten van de Managed SIEM hebben. Zeker wanneer u veel verwacht van een SOC-dienst, is het belangrijk dat u te maken hebt met experts die goed op de hoogte zijn van hoe hackers en cybercriminelen kwetsbaarheden uitbuiten. Alleen zo is keer op keer effectief optreden haalbaar.
 

3. Wat wilt u in de SOC-rapporten terug lezen?

Wilt u graag enkel rapporten met incidenten waarbij de false positives eruit gefilterd zijn ontvangen? Of hebt u liever concrete hulp bij het oplossen van de security problemen? Het is goed om te weten hoe ver de SOC-dienst gaat in de communicatie. Ga na wat u verwacht van een SOC en wat bij uw organisatie past.
 

4. Denkt de SOC-dienst mee over lange termijn oplossingen?

Komen bepaalde kwetsbaarheden of fouten regelmatig terug? Dan kan het prettig zijn dat het SOC/Managed SIEM advies geeft over het structureel verbeteren van uw cyber security. Wilt u deze ondersteuning? Ga dan altijd bij de SOC-dienst waarmee u om de tafel gaat na of ze deze service bieden.
 

5.Op wat voor manier houdt de SOC/Managed SIEM verder contact?

Niet elke SOC-dienst heeft de mogelijkheid persoonlijk contact met u te houden. Houdt u van een laagdrempelige benadering en vindt u het belangrijk regelmatig te kunnen bellen met een vraag? Ga dan altijd na of dit mogelijk is.
 

6. Is alles maatwerk of zijn er ook pre-built use cases?

In hoeverre is het SOC wendbaar genoeg om mee te gaan in uw specifieke én niet-specifieke wensen? Niet elke organisatie vindt dezelfde zaken belangrijk. Dus welke resultaten wilt u ontvangen? Sommige Managed SIEMs bieden al veel pre-built use cases. Hierdoor is maatwerk minder vaak nodig, wat kosten en tijd bespaart.
 

De SOC-dienst van IP4Sure

Kenmerkend voor onze Managed SIEM/SOC zijn de cyber security professionals die niet alleen optreden bij incidenten, maar ook meedenken met oplossingen voor de lange termijn. Pragmatisch, laagdrempelig en persoonlijk: dat is waar wij voor staan. Meer weten over onze SOC-dienst? Lees hier verder of neem vrijblijvend contact met ons op voor meer informatie.

Veel bedrijven gebruiken Office 365 voor hun e-mailcommunicatie. De cloud brengt vele voordelen met zich mee: maar ook een aantal uitdagingen op security-gebied. In dit artikel geef ik een paar eenvoudig toe te passen tips om bedrijven te helpen hun Office 365 omgeving beter te beveiligen. En: zo e-mail hacks te voorkomen.

Hoe simpel is een e-mail hack?

Er wordt vaak gedacht dat hacken ingewikkeld is. Dat Microsoft zijn zaken wel zo goed op orde heeft dat een hack eigenlijk niet eens plaats kan vinden. Dat is slechts ten dele waar: een hack hoeft helaas helemaal niet zo ingewikkeld te zijn, ook niet in het geval van Office 365. Soms is er zelfs amper technische kennis voor nodig.
 

Datalekken via Office 365

Zo ontdekten we een tijd geleden bij een bedrijf dat alle mails die de CFO ontving direct werden doorgestuurd naar een extern en onbekend e-mailadres. Dit gebeurde niet via de forwarding rules, maar op het niveau van de mailbox op Office 365. Hoe lang dit al gaande was? Dat was niet duidelijk. Maar waarschijnlijk was er al veel informatie naar buiten gelekt.

Wat veel beheerders niet weten, is dat Office 365 diverse mogelijkheden heeft om hen te helpen dit soort aanpassingen te detecteren. Dit is echter niet standaard ingeschakeld!

Hoe u Office 365 zo instelt dat u wel op de hoogte blijft van al deze aanpassingen? Ik leg hieronder stap voor stap uit hoe u dit doet, samen met nog een aantal andere tips tegen e-mail hacks.
 

1. Audit logs & alarmen inschakelen

Om op de hoogte te blijven van verdachte activiteiten binnen de Office 365-omgeving, is het mogelijk Audit logs en Alarmen in te schakelen. Dit zijn standaard functionaliteiten binnen Office 365 en dus voor iedereen toegankelijk.

Het instellen gaat als volgt: Ga in Office 365 naar “Security & Compliance”. Open het search menu en klik op “Audit log search”. Als het goed is komt u uit op de zoekpagina waar normaal gezien de audit logs staan. Is het opslaan van deze logs nog niet ingeschakeld? Dan zal Office 365 dit hier melden en de optie geven dit alsnog direct in te schakelen. (let op: de audit logs worden 24 uur na inschakeling pas zichtbaar)

Wanneer auditing is ingeschakeld, hebt u ook de mogelijkheid “Alert policies” te maken. Die alerts triggeren bij bepaalde gebeurtenissen: zowel op gebruikers- als organisatieniveau. Om een alarm te maken voor het instellen van een forward op een mailbox gaat u naar Alerts/Alert policies.

Hieronder een voorbeeld van hoe u deze zou kunnen instellen:

2. Phishing-mails namens directie ontmaskeren

Tegenwoordig zien we erg veel phishingaanvallen waarbij aanvallers zich voordoen als iemand binnen de organisatie. Zo verzenden ze bijvoorbeeld mails met verzoeken om geld over te maken vanaf een mailadres dat sterk lijkt op die van de directeur. Uiteraard met de naam van de directeur als afzender.

Om te voorkomen dat valse externe e-mails voor echt worden aangezien, is het mogelijk een titel-extensie toe te voegen. Denk bijvoorbeeld aan de tekst [External]. Op deze manier kan altijd direct herkent worden of een email van buiten de organisatie komt. Hieronder een voorbeeld:

Dit is heel eenvoudig in te stellen door in Office 365 een transport rule te maken. Deze ziet er als volgt uit:

3. Basic Authentication uitschakelen

De oude authenticatie methode van Microsoft is niet de meest veilige. De zogenoemde “Basic Authentication” maakt uw e-mail client kwetsbaar voor brute force of password spray aanvallen. Gelukkig heeft Microsoft inmiddels Modern Authentication toegevoegd en plant in Oktober 2020 Basic Authentication volledig uit te schakelen.

Ons advies is om nu al gebruik te maken van Modern Authentication. Dat is een stuk veiliger. Daarnaast voorkomt u dat uw organisatie in Oktober tegen problemen aanloopt als Basic Authentication “ineens” niet meer werkt.

In de praktijk heeft het wegvallen van Basic Authentication waarschijnlijk niet veel impact op organisaties die gebruik maken van modernere applicaties en telefoons. Vanaf Office 2013 wordt het nieuwe Modern Authentication ondersteund. Opmerking hierbij is wel dat er voor Office 2013 eerst een register sleutel moet worden toegevoegd.

Zijn er nog oudere toestellen in gebruik? Ook voor legacy gebruikers is er een oplossing door simpelweg de Outlook app te gaan gebruiken.

Om Basic Authentication uit te schakelen is het mogelijk om binnen Azure de “Security defaults” in te schakelen. Dit schakelt ook de Basic authenticaiton uit.

Lees hier meer over security defaults.

Uiteraard adviseren we ook om eerst alle eisen voor het uitschakelen van Basic Authentication goed door te lezen. In dit artikel is alles terug te vinden over Basic Authentication.
 

4. Uitschakelen ongebruikte protocollen

Standaard bevat Office 365 nog een aantal (oude) protocollen welke bij veel organisatie niet, of zeer beperkt worden gebruikt. Het is aan te raden deze protocollen in zijn geheel uit te schakelen of slechts voor de noodzakelijke accounts actief te laten.

Het gaat hierbij om de volgende protocollen:

• IMAP
• POP
• MAPI
• SMTP authentication

Het uitschakelen van deze protocollen kan per user via de Exchange Management console (behalve SMTP authentication).

Het is ook mogelijk dit via powershell uit te voeren op grote schaal:

Per user

Set-CASMailbox -Identity printer@domain.onmicrosoft.com -ImapEnabled $false – MapiEnabled $false -PopEnabled $false -SmtpClientAuthenticationDisabled $true

Alle bestaande users

Get-CasMailbox | set-CasMailbox -ImapEnabled $false -PopEnabled $false -MapiEnabled $false -SmtpClientAuthenticationDisabled $true

Voor alle toekomstige users

Get-CASMailboxPlan | set-CASMailboxPlan -ImapEnabled $false -PopEnabled $false -MapiEnabled $false -SmtpClientAuthenticationDisabled $true
 

5. Admin-account beheer optimaliseren

Elke Office 365-omgeving krijgt een standaard admin-account met het “onmicrosoft”-domein. Meestal gaan IT-beheerders vanuit dit account de Office 365-omgeving optuigen en koppelen ze vervolgens het bedrijfsdomein.

Vaak koppelen ze het domein middels SAML aan ADFS en hebben ze hun ADFS additioneel beveiligd met 2FA. Dit zijn goede beveiligingen. Echter, SAML-connecties worden per domein gemaakt: het “onmicrosoft”-domein – dat vaak actief wordt gehouden – is daardoor dan niet beveiligd.

Denk ook aan het admin-account van testdomeinen: als deze ook niet goed beveiligd zijn, kunnen aanvallers deze misbruiken om bij data te komen.

Controleer daarom altijd of er geen admin-account actief is op het “onmicrosoft”-domein of een testdomein. Configureer vervolgens een alert zoals eerder beschreven, om een melding te sturen wanneer er een nieuw account met admin-rechten wordt toegevoegd. Op deze manier hou je de controle over de admin-accounts in Office 365.
 

6. Admin rol splitsen

Net zo belangrijk is het splitsen van de admin rol. Actieve mailbox accounts mogen nooit admin zijn in Office 365. Maak dan ook altijd een los account aan voor admin activiteiten. Dit account hoeft niet voorzien te zijn van een licentie en is daarom dus gratis.

Bijvoorbeeld: de beheerder gebruikt voor mails voorbeeld@ip4sure.nl. Als de gebruiker als admin in Office 365 moet zijn logt deze in met admin-voorbeeld@ip4sure.nl. Uiteraard is ook het admin account voorzien van een sterk wachtwoord en 2FA.

Meer informatie over een veilige Office 365 omgeving?
Met deze simpele tips hopen wij beheerders te helpen hun omgeving veiliger te maken. Deze tips zijn (uiteraard) niet voldoende om alle informatie in Office 365 te beveiligen, maar het zijn snelle en gemakkelijke stappen om de beveiliging te verbeteren.

Mocht u hulp nodig hebben of uitgebreidere beveiligingsopties willen gebruiken dan, neem dan contact met ons op via 040-2444666 of info@ip4sure.nl.

In 2019 publiceerden we al eerder een blog over Office 365 hacks. Dit artikel is een up-to-date versie ervan.

Een security tool die real-time helpt bij het programmeren: hoe ziet dat er in de praktijk uit? Levert Contrast Security wat het belooft? Bespaart het echt zoveel tijd? In dit artikel gaan we dieper in op de workflow van de Contrast Security tool.

Wat is Contrast Security?

Voor wie Contrast Security nog niet kent: het is tooling die DevOps real-time bij staat in het ontwikkelen van veilige (web)applicaties. Naast functionaliteit en uiterlijk is veiligheid ontzettend belangrijk, tenslotte. Stiekem streeft iedereen naar het ontwikkelen van de ultieme – dus ook veilige –  applicatie. (En anders krijg je dat wel opgelegd door een security manager)

In de praktijk is security alleen een “afterthought”. Iets wat pas na het bouwen van een functionele en mooie applicatie wordt bekeken. Dat is vaak een domper, want het visuele en praktische eindresultaat staat er al. Daarbij is het vaak ook nog een extra tijdrovende klus om achteraf alle kwetsbaarheden uit de applicatie te vissen. Om nog maar te zwijgen over de impact die het soms op het ontwerp heeft.

Contrast Security belooft dat het tackelen van kwetsbaarheden dankzij hun tool al op een natuurlijke manier tijdens het ontwikkelproces plaats kan vinden. Sterker nog: door niet meer achteraf op zoek te gaan naar kwetsbaarheden, winnen developers volgens Contrast Security 85% van hun tijd terug.

Voor en door developers

Hoe maakt Contrast Security deze belofte waar? Er komen vaker tools op de markt die bergen goud beloven, maar uiteindelijk een fractie leveren. In het geval van Contrast Security levert het echt wat het belooft. Dat is allemaal te danken aan Jeff Williams, Co-Author van de OWASP Top 10. Hij is als developer namelijk de medeoprichter van Contrast Security.

Jeff Williams en zijn team weten precies waar de knelpunten liggen op het gebied van Appsec in het ontwikkelproces. Met die wetenschap zijn zij de tool gaan maken. De tool moest betrouwbaar én functioneel zijn, passend in de gemiddelde ontwikkelstraat. Daar horen tijdrovende scans bijvoorbeeld niet in thuis.

Instrumentatie: Contrast Security zit IN de applicatie

In tegenstelling tot andere tools op de markt, zit Contrast Security in de applicatie. Doordat het van binnenuit werkt, zijn die tijdrovende scans dus niet meer nodig. Informatie over de meest actuele kwetsbaarheden zijn direct real-time zichtbaar.

Lees binnenkort ons artikel waarin we dieper in gaan op instrumentatie.

Daardoor zeer weinig false positives: 97% accurate gegevens

Het dashboard geeft in één oogopslag inzicht in de meest recente kwetsbaarheden. Hoeveel kwetsbaarheden zitten er in de applicatie? Hoe kritisch zijn ze? Hoe oud? En wat is de mogelijke impact? Contrast Security staat vol waardevolle informatie die voor 97% accuraat is. Doordat de tool van binnenuit werkt, komen vervelende false positives veel minder vaak voor dan bij andere tools (die van buitenaf scannen).

Hoe kan het dat Contrast Security real-time resultaten levert?

Contrast Security kijkt naar legitiem gebruik van de applicatie. Tijdens het testen van een applicatie komen de kwetsbaarheden real-time naar voren in de software. Het mooie is dat manueel testen van code al in de gemiddelde workflow zit: tenslotte is code controleren op functionaliteit een onmisbaar onderdeel van het ontwikkelproces. Dat betekent dat je niets anders dan normaal hoeft te doen om Contrast Security te laten werken. Functioneel checken van code doet men toch al. Dankzij de tool krijg je er automatisch informatie over security bij.

<youtube video: https://youtu.be/XiLc8piqJQY>

Een natuurlijke workflow met Contrast Security

Heb je Contrast geconfigureerd? Dan ziet een workflow met Contrast Security er vaak als volgt uit:

1. Je hoeft Contrast Security niet van te voren aan te zetten.
2. Je programmeert een applicatie zoals je dat gewend bent. Tussendoor check je de nieuwe functionaliteit in een gebouwde versie van de applicatie in de browser. Contrast analyseert het gebruik van de gebouwde applicatie en zet dit om in informatie over kwetsbaarheden.
3. Is er een belangrijke kwetsbaarheid ontdekt door Contrast Security? Dan krijg je direct een bericht hierover. Zo hoef je niet achteraf je code door te spitten, maar kan je er direct mee aan de slag.
4. Contrast weergeeft per kwetsbaarheid uit wat het risico is. In een simpele how-to legt de tool uit wat de juiste fix is. Deze uitleg is altijd relevant en afgestemd op je voertaal. Alle guidance die je nodig hebt, zonder cryptische uitleg waar niemand iets van snapt.
5. Aan de hand van de how-to fix je direct de kwetsbaarheid. Is de fix goed geïmplementeerd? Dan geeft Contrast dit aan. Vervolgens ga je verder met programmeren tot er weer een nieuwe kwetsbaarheid omhoog komt.
6. Achteraf bekijk je in het dashboard of er nog actuele kwetsbaarheden zijn. Heb je tijd? Dan verhelp je deze ook direct aan de hand van de how-to.

Doordat je tijdens de functionele ontwikkeling van de applicatie al bezig bent met security, hoef je achteraf niet meer alles na te lopen. De grootste tijdswinst? Die zit in het feit dat je nergens meer naar op zoek hoeft en ook nooit meer achteraf het ontwerp van een applicatie hoeft aan te passen. Dankzij Contrast weet je precies welk stukje code problemen oplevert en hoe je het snel verhelpt.

Verander zelf een secure coding expert

Daarnaast zien we in de praktijk dat veel developers automatisch beter worden in secure coding. Door steeds in de tool te zien wat de risico’s van een kwetsbaarheid zijn en hoe je deze verhelpt, leer je onbewust kwetsbaarheden veel sneller zelf te herkennen. Uiteindelijk gaat het schrijven veilige code steeds meer vanzelf.

Snel een functionele, mooie én veilige (web)applicatie

Al met al maakt Contrast Security het ontwikkelen van een veilige applicatie veel minder tijdrovend. De domper dat je je nog moet storten op security nadat de applicatie eigenlijk al volledig functioneel is, is niet meer aan de orde. Is de applicatie af? Dan is hij functioneel, mooi én veilig.

Bij datadiefstal (ook wel data theft) denkt men al snel aan hackers die met aanvallen bij gevoelige data proberen te komen. Maar wist u dat data theft niet alleen van buitenaf plaats hoeft te vinden?

Datadiefstal door personeel is net zo goed een veelvoorkomend probleem. Hoe groot is de kans dat u risico loopt op data theft door medewerkers? En is deze vorm van datadiefstal goed te voorkomen?
 

Wat is datadiefstal?

Datadiefstal (of data theft) is het stelen van digitale informatie die opgeslagen staat op de computer, harddisk of server van het slachtoffer. Het gaat hierbij vooral om data met vertrouwelijke informatie. Bijvoorbeeld gevoelige bedrijfsdocumenten of klantgegevens. De gevolgen van datadiefstal kunnen groot zijn: denk aan geheime gegevens die bij de concurrent terecht komen of persoonsgegevens die door cybercriminelen worden misbruikt.
 

Datadiefstal door een medewerker en diefstal door een hacker

De kans dat een medewerker data steelt is nog groter dan dat een hacker dat doet. Hoe dat kan? Hackers moeten eerst van buitenaf binnen zien te komen door – bijvoorbeeld – via phishing inloggegevens te bemachtigen. Een medewerker? Die zit al binnen. Voor hem of haar zit de uitdaging hem enkel nog in het ongezien wegloodsen van de gegevens, niet in het binnendringen.

Nu hebben de meeste medewerkers geen reden om data te stelen van hun baas. Maar is een relatie door de jaren heen wankel geworden? Dan kan de medewerker in de verleiding komen data door te sluizen naar hun nieuwe werkgever. Een bedrijfsconflict kan helaas altijd ontstaan: ook binnen uw bedrijf. Ben dus zeker alert op de risico’s. Er hoeft maar één medewerker data weg te sluizen en u zit met grote schade.
 

Is datadiefstal te voorkomen?

Gelukkig bent u niet geheel overgeleverd aan de welwillendheid van uw personeel. Een aantal jaar geleden werd er nog geroepen dat er vrij weinig te doen is aan datadiefstal door medewerkers. Tegenwoordig zit de vork anders in de steel. Ja, het blijft een gecompliceerd probleem. Maar er zijn manieren om medewerkers op tijd te betrappen.

Een tijd geleden heeft ons Cyberlab-team een organisatie nog geholpen op het gebied van datadiefstal door personeel. Om u een idee te geven van hoe datadiefstal door personeel eruit kan zien, delen we dit verhaal:
 

Dubieuze hoeveelheid datatraffic

De organisatie maakte gebruik van een Firewall die in een maandelijkse rapportage liet zien dat er data was verstuurd naar een extern domein. Het ging om honderden Gb’s. Een raadselachtige situatie. Het bedrijf kon geen verklaring geven voor deze verdachte activiteit en schakelde Cyberlab in voor onderzoek.
 

Hun geluk: InsightIDR

Ze hadden één groot geluk: doordat ze net bezig waren met een Proof of Concept van InsightIDR, had ons team veel meer logging dan zonder InsightIDR. Die logging is essentieel in het onderzoeken van dit soort kwesties. Het was dan ook een redding, want dankzij die logging wist het Cyberlab-team snel te achterhalen vanuit welk account die data werd weggesluisd. Ook de server en tijdstip van het voorval waren bekend.

Lees hier meer over InsightIDR.

Het kwam erop neer dat de data vanaf het account in kwestie naar een cloudservice is gesluisd. De eigenaar van dit account zou toevallig binnenkort uit dienst gaan. Uiteraard is er geen zekerheid dat de eigenaar van dit account hierachter zit. Tenslotte komt het ook wel eens voor dat accounts gehackt raken en derden er gebruik van maken. Wel hadden we met de logging feitelijk bewezen dat dit specifieke account de bron van de datadiefstal was: een aanknopingspunt.
 

Hoe het bewijsmateriaal leidde tot de verantwoordelijke

Het was aan de directie om te bepalen wat voor stappen ze gingen ondernemen. Cyberlab levert tenslotte enkel de digitale feiten rondom accounts, maar kan geen uitspraken doen over de betrokkenheid van fysieke personen.

Uiteindelijk koos de directie ervoor het gesprek met de eigenaar van het account aan te gaan. Die gaf – na het voorleggen van wat bewijsmateriaal – schoorvoetend aan dat hij de data had willen back-uppen voor zichzelf. Het ging alleen om wel heel erg veel data, dus het is maar de vraag of dit puur voor privégebruik was.

Jammer genoeg was de organisatie op dat moment nog geen volledige klant bij IP4Sure. Als dat wel het geval was geweest, hadden we al andere maatregelen kunnen implementeren die nog meer helderheid hadden gegeven. Nu was bijvoorbeeld nog onbekend om welke data het precies ging.
 

Belangrijk: bewaar logging en audits

In ieder geval is er op tijd achterhaald wie achter de data theft zat, nog voordat deze persoon uit dienst ging. Dat geeft maar aan hoe belangrijk het is dat u logging en audits altijd bewaart! Nu heeft de directie nodige stappen kunnen ondernemen binnen de organisatie.
 

Datalekken vaak door personeel

Datadiefstal door eigen personeel: het is een belangrijk risico om als organisatie alert op te zijn. Tot op heden is het grootste deel van de data die gelekt wordt te wijten aan medewerkers. In bovenstaande voorbeeld was dit met voorbedachte rade, maar in veel gevallen gebeurt het ook onbewust. Kijk daarom wat voor maatregelen u kunt treffen om schade door data theft te voorkomen.

Hulp bij het verkleinen van het risico op datadiefstal en het vergroten van de pakkans? We denken graag vrijblijvend met u mee, dus neem zeker contact op om te informeren over de mogelijkheden.

Gelukkig belanden veel phishing mails in de prullenbak, maar helaas zijn er dagelijks toch nog een hoop bedrijven en particulieren slachtoffer van een phishing aanval. Met wat voor gevolgen hebben zij te maken?

De gevolgen van phishing aanvallen

In dit artikel gaan we dieper in op de eventuele gevolgen van een phishing aanval, aan de hand van een cybercrime voorbeeld uit de praktijk. Zo krijgt u een concreet beeld van hoe een aanvaller te werk zou kunnen gaan. Let wel: geen enkele phishing aanval verloopt exact hetzelfde. De gevolgen van phishing variëren flink in omvang.
 

Alarmerende facturen

Een tijd geleden meldde een organisatie zich bij ons met het vermoeden slachtoffer te zijn van cybercrime. De aanleiding? Een klant met een vraag over een factuur die de organisatie naar eigen weten nooit verstuurd had. Op dit factuur stond een ander rekeningnummer dan dat van de organisatie. Dat zorgde voor nogal wat alarmbellen.

Ons Cyberlab-team is direct op afstand gaan kijken wat er aan de hand was. Want hoe konden deze facturen verstuurd zijn? Kwam dat door phishing? Of iets anders? En hoeveel waren er verstuurd? Het doel van de cybercriminelen was in ieder geval duidelijk: geld verdienen. Daar zijn ze tenslotte bijna altijd op uit. Of dat nu is door data te stelen en door te verkopen, u te chanteren met gijzelsoftware, of – zoals in dit geval – door uw klanten nep-facturen te laten betalen.
 

Phishing: de bron van deze cyberaanval

Al snel kwamen we erachter dat een Office 365 mailbox van één van de medewerkers was gehackt. We zagen in de logging dat dit hoogstwaarschijnlijk via een phishing aanval is gebeurd. Vermoedelijk heeft de medewerker zijn Office 365 wachtwoord ingetypt op een phishing website. Die gegevens waren voor de aanvaller meer dan voldoende.

Iedereen die een klein beetje geïnteresseerd is in cyber security stelt nu vast de vraag: waarom was er geen MFA of 2FA aanwezig? Een cybercrimineel heeft tenslotte vrij weinig aan een wachtwoord wanneer deze goed is ingesteld. Ja, de organisatie had medewerkers opgeroepen 2FA aan te zetten. Helaas is dat nooit gebeurd bij het gephishte account.

Het is dan ook altijd belangrijk te controleren of medewerkers beveiligingsmaatregelen naleven. De mens is de grootste kwetsbaarheid op het gebied van cyber security: één medewerker die in phishing trapt en uw hele organisatie loopt risico.
 

De hacker maakte slim gebruik van Office 365 regels

Hoe de aanvaller verder te werk ging? Nadat hij met de phishing actie toegang had gekregen tot het Office-account van de medewerker, is hij regels binnen de Office mailbox in gaan stellen. Deze regels geven binnen Office 365 de mogelijkheid uw mailbox te sorteren door automatisch ontvangen mails in bepaalde mapjes te zetten.

In dit geval had de aanvaller een regel zo ingesteld, dat mails van de ingestelde mailadressen niet in de inbox belanden, maar in de map “subscriptions”. Hierdoor zou de rechtmatige eigenaar van het overgenomen Office-account de binnenkomende mails in dat mapje niet zien.
 

Zo stuurde de hacker ongestoord mails over facturen

Hier wordt ook meteen duidelijk hoe er facturen gestuurd zijn, zonder dat de eigenaar van het account hiervan wist. De aanvaller had namelijk uit naam van het phishing slachtoffer mails gestuurd over facturen. Alle binnenkomende reacties op de facturen kreeg de legitieme gebruiker niet te zien.

Dus de aanvaller kon gewoon dat gesprek aan gaan met de mensen die facturen “moesten” betalen en overmaken naar het rekeningnummer van de aanvaller. Al deze uitgaande en inkomende mails werden overigens verwijderd door de hacker.

Hackers hopen met een phishing aanval vooral de accounts van medewerkers met financiële functies over te nemen. Zij hebben tenslotte het recht om facturen te sturen en ook inzicht in andere financiële zaken. Zo komt het ook voor dat op die manier geheime financiële cijfers worden doorgestuurd naar criminelen zodat ze daarop kunnen inspelen op de beurs.
 

Alles was te achterhalen dankzij logging

Hoe we hier allemaal achter zijn gekomen? Zoals we al eerder benoemden, hebben we in de logging gezien hoe de inloggegevens zijn gelekt. Hierin zagen we ook wanneer dit precies was gebeurd, vanuit welk land de hacker inlogde en wat hij precies gedaan heeft. Zo kwamen we er ook achter hoe hij de mailbox regels slim heeft ingezet om ongestoord zijn werk te doen. We zijn door die logging zelfs in staat geweest al het verwijderde mailverkeer terug te halen.
 

Basisbescherming had veel kunnen voorkomen

Opvallend is dat bij deze phishing aanval veel voorkomen had kunnen worden met basisbescherming. Het geeft maar aan hoe belangrijk een simpele handeling als het instellen van 2FA is. Daarbij heeft de organisatie ook nog eens geluk gehad. Als ze later hadden ingegrepen, waren de gevolgen nog veel omvangrijker geweest.

De username en password van het phishing slachtoffer waren namelijk hetzelfde als die van de active directory (database waar alle gebruikers in zitten). Bedrijven synchroniseren die gegevens vaak, puur voor het gemak. Zo loggen medewerkers met dezelfde gegevens in als waarmee ze ook hun laptop in komen. Dat biedt kansen voor een hacker.

Daarnaast had de organisatie medewerkers VPN toegekend zonder 2FA, als snelle oplossing tijdens de Corona-crisis. Al deze kwetsbaarheden bij elkaar hadden voor een nog grotere hack kunnen zorgen. Gelukkig snel bleek dat de aanvaller niet van deze kwetsbaarheden wist. Hij was in ieder geval niet ingelogd op de VPN. Als de aanvaller meer tijd had gehad, had hij daar waarschijnlijk wel nog gebruik van gemaakt.
 

We hebben direct securitymaatregelen getroffen

Gelukkig hebben we alles kunnen achterhalen en is er veel extra schade voorkomen. We hebben de nodige securitymaatregelen getroffen om ervoor te zorgen dat deze organisatie niet snel meer bij ons hoeft aan te kloppen voor ditzelfde noodgeval.

Deze securitymaatregelen varieerden van basisacties als het resetten van het wachtwoord en het afdwingen van 2FA, tot het instellen van een “Honeypot” en nog een aantal andere acties.
Lees meer over e-mail hacks
 

InsightIDR: een handige tool

Ook heeft de organisatie ervoor gekozen gebruik te maken van InsightIDR. Deze tool slaat alle logs en alarmeringen op. De gevolgen van phishing aanvallen en andere vormen van cybercrime zijn een stuk eenvoudiger te beheersen met InsightIDR. Sterker nog: dan had de organisatie InsightIDR zo in kunnen stellen dat ze een melding kregen wanneer die regels werden aangemaakt.
 

De gevolgen van deze phishing aanval vielen mee

In dit geval is de schade van deze phishing aanval zeer beperkt gebleven. Maar had deze organisatie niet op tijd ingegrepen, dan was imagoschade zeker een gevolg geweest. Om nog maar te zwijgen over al het geld dat de cybercrimineel in kwestie met deze aanval had verdiend.

Meer weten over basisbescherming en andere manieren om uw organisatie te beschermen tegen phishing of andere vormen van cybercriminaliteit? Neem dan vrijblijvend contact met ons op voor al uw vragen.

De is één van de sectoren die tegenwoordig veel te maken krijgt met cyberchantage: afgelopen week waren er weer twee buitenlandse instellingen slachtoffer gevallen van ransomware aanvallen. Waarom is chanteren met gijzelsoftware en DDoS-aanvallen zo interessant voor cybercriminelen? En wat kunt u er zelf tegen doen?

Tijdelijke stop gijzeling van zorg-IT

Voor we dieper ingaan op bovenstaande vragen, eerst nog wat “positief” nieuws: enkele ransomwarebendes beloven tijdelijk te stoppen met aanvallen op medische organisaties. Ze hebben besloten zich ethisch op te stellen en voor nu zorg-IT en overheden te vermijden. Een aantal cybercriminelen verklaarden dat ze dit al deden.

Dit alles is naar aanleiding van de aanvallen op de twee instellingen in Tsjechië en Amerika die hierdoor niet meer optimaal hun zorgdiensten konden verlenen tijdens de pandemie. Waarschuwingen en zorgen vanuit de cybersecuritywereld hebben ertoe geleid dat ransomwarebendes beloven de publieke sector voor nu te ontzien en geen ransomware-aanvallen meer op te zetten.

Een temporaire vrijwaring van ransomware aanvallen

Enkele bendes benoemen wel dat deze vrijwaring van tijdelijke aard is. Tot de crisissituatie is gestabiliseerd. Vindt er toch per ongeluk afpersing in de zorg plaats? Dan beloven ze de sleutel die de gegijzelde data ontgrendelt gratis aan te bieden. Getroffen organisaties moeten hiervoor contact opnemen via de contactgegevens die ze kunnen vinden in de losgeldeis. Een bewijs dat ze een zorgverlener zijn is verplicht.

De ransomwarebende achter Maze hebben zich overigens niet aan deze belofte gehouden.

Andere organisaties vangen alsnog klappen, waaronder Thuisbezorgd.nl

De medische wereld is ontzien, maar andere sectoren krijgen alsnog te maken met grote aanvallen. Zo treft de cyberaanval op Thuisbezorgd van vorige week zo’n 100.000 klanten. DDoS’ers hebben de server overbelast, waardoor bestellingen niet goed doorkwamen bij restaurants. Klanten bestelden eten maar kregen vervolgens niets.

De aanvallers eisten dat Thuisbezorgd twee Bitcoin (omgerekend een kleine € 10.000,-) overmaakt om de aanval te staken.

Het bedrijf geeft aan dat de aanval voelde als een vorkheftruck die door een winkelpui naar binnen raasde. Volgens Thuisbezorgd komen hackers er namelijk echt niet zomaar doorheen. Helaas is dat nu toch gebeurd.  Gedupeerde klanten hoeven overigens niet te vrezen: zij krijgen hun geld gewoon terug, mochten ze hun bestelling niet ontvangen hebben.

Cyberchantage: waarom is het zo interessant voor criminelen?

Of aanvallers nu kiezen voor een DDoS-aanval of ransomware: het verdienmodel van cyberchantage is eigenlijk heel simpel. Eerst vallen ze het systeem van een organisatie zodanig aan dat het niet meer te gebruiken is, om vervolgens een oplossing aan te bieden. Uiteraard in ruil voor een flinke vergoeding. Slachtoffers voelen zich noodgedwongen te betalen en cybercriminelen gaan weer door naar hun volgende slachtoffer.

Hoe komen cybercriminelen weg met deze aanvallen?

Aanvallers gaan zo te werk dat ze bijna niet te traceren zijn. Zo vragen ze slachtoffers niet om geld over te maken naar hun bankrekening, maar te betalen in anonieme cryptocurrency. Bitcoins hebben vaak de voorkeur. Door dit soort maatregelen blijven bendes succesvol anoniem en onder de radar. Veel organisaties – zoals Thuisbezorgd – vinden aangifte doen dan ook zinloos en kiezen ervoor dit niet te doen. Toch raadt de politie aan altijd een melding te maken van cybercrime.

Daarnaast adviseert de Nederlandse overheid ook nooit te betalen. Dit houdt tenslotte het verdienmodel van deze bendes in stand en houdt het verspreiden van ransomware en het inzetten van gijzelsoftware lucratief. Voorkom liever dat betalen uw enige optie is. Er zijn namelijk manieren om uzelf te beschermen tegen (de gevolgen van) dit soort aanvallen.

Zo beschermt u zich tegen cyberchantage

Cyberchantage: vooral bedrijven krijgen ermee te maken. Ook overheidsinstellingen zoals gemeentes moeten regelmatig hun budgetten inzetten om data terug te krijgen. Toch is dit niet altijd nodig. We geven een aantal tips om uzelf (zowel privé als zakelijk) zo goed mogelijk te beschermen tegen cyberchantage:

1. Hou al uw software up-to-date

Zorg ervoor dat medewerkers of collega’s dit ook doen. Het is niets nieuws dat aanvallers vaak ingangen weten te vinden via verouderde software. Toch vergeten veel mensen gek genoeg alsnog regelmatig te updaten. Updates zijn essentieel! Zeker wanneer het om beveiligingsupdates gaat.

2. Maak regelmatig een back-up

Back-ups zijn een krachtig wapen tegen cybercrime. Bent u toch slachtoffer geworden van ransomware? Dan maakt een back-up het mogelijk de boel te herstellen naar een punt vóór de infectie. Hierdoor is het betalen van losgeld niet meer nodig. Helaas wordt het instellen van automatische back-ups vaak vergeten, zeker door particulieren.

3. Pas op met downloads en onbetrouwbare sites

Het is geen vernieuwende tip, maar wel een belangrijke: pas op met het downloaden van bestanden of het bezoeken van onbetrouwbare websites. Op die manier verkleint u de kans dat u malware binnenhaalt. Liever automatische bescherming? Neem dan contact met ons op voor meer informatie.

4. Tot slot: investeer in sterke beveiliging

Zeker wanneer organisaties gebruik maken van remote desktop-software, is het belangrijk te investeren in goede beveiliging. Controleer uw systemen op kwetsbaarheden met een pentest en zorg voor encryption en two factor authentication. Ontdek hier nog meer beveiligingsoplossingen.

Laat u zich liever adviseren?

Het zelf realiseren van optimale cybersecurity kan nogal een kluif zijn. Laat u zich liever adviseren door cybersecurity experts? Dan nodigen we u uit vrijblijvend contact met ons op te nemen.

Weten wat u moet doen bij een ransomware-aanval? Lees dan dit artikel.

Als IT’ers zijn we ons er allemaal van bewust dat er elke dag nieuwe kwetsbaarheden bekend worden. Kwetsbaarheden in de software van een organisatie kunnen verstrekkende gevolgen hebben wanneer ze niet op tijd worden gevonden en opgelost. Maar hoe weet u zeker dat uw organisatie up-to-date blijft en de nieuwste patches effectief zijn toegepast?

In dit artikel gaan we het hebben over hoe Vulnerability Management meer zekerheid geeft dan patchbeheer. In patchbeheer schuilen namelijk een aantal uitdagingen: het is verstandig om een antwoord op de volgende vragen te formuleren:
 

1. Is uw organisatie op de hoogte van nieuw uitgebrachte patches?

Handmatig alles up-to-date houden: wie er ervaring mee heeft, zal zeggen dat het bijna geen doen is. In een organisatie met veel verschillende besturingssystemen en softwarepakketten is het een dagtaak om op de hoogte te blijven van alle bekende kwetsbaarheden. Daarnaast is er snel iets over het hoofd gezien.
 

2. Wat doet u wanneer er nog geen patch is voor een kwetsbaarheid?

Het direct uitvoeren van een nieuwe patch is hoe dan ook verstandig. Sterker nog: in cybersecurityland is het een doodzonde dit niet te doen. Maar staar uzelf niet blind op die patches. Wanneer al uw patches up-to-date zijn, wil dat niet zeggen dat alles vrij van kwetsbaarheden is. Vaak kost het ontwikkelaars even om een passende beveiligingsupdate te faciliteren in het geval van een kwetsbaarheid. In de dagen (of weken) dat er nog geen patch is, bent u dus niet veilig. Vaak is er wel een workaround mogelijk om uw organisatie veilig te stellen tot de beveiligingsupdate beschikbaar is.

3. Weet u zeker of het systeem daadwerkelijk kwetsbaar is?

Daarnaast is het de vraag of elke kwetsbaarheid daadwerkelijk gevaarlijk gaat zijn voor uw bedrijf. Vaak hebben (ook ernstige) kwetsbaarheden een aantal afhankelijkheden: bijvoorbeeld dat ze alleen misbruikt kunnen worden wanneer er ook sprake is van een specifieke registerinstelling. Dat betekent dat als uw systemen anders zijn ingesteld, de kwetsbaarheid geen probleem oplevert. Met geautomatiseerde Vulnerability Management is het niet meer nodig kwetsbaarheden handmatig te kwalificeren en prioriteren. Zo kijkt een tool als InsightVM direct wat voor risico u loopt en welke kwetsbaarheden de hoogste prioriteit hebben.
 

4. Weet u zeker dat de kwetsbaarheid daadwerkelijk is opgelost?

Het oplossen van sommige kwetsbaarheden kan afhankelijk zijn van ‘externe’ factoren. Wat veel IT’ers bijvoorbeeld niet weten, is dat sommige Microsoft-updates een kwetsbaarheid pas oplossen wanneer er ook handmatig een registeraanpassing wordt gedaan. Dit was bijvoorbeeld het geval bij de oplossingen voor de Spectre- en Meldown-kwetsbaarheden op Windows. Er zal daarom altijd een controle moeten plaatsvinden, op elk systeem, om te zien of de kwetsbaarheid daadwerkelijk is verholpen.
 

5. Wordt dit proces continu gemonitord?

Een verholpen kwetsbaarheden is natuurlijk een goede zaak. Maar hoe lang blijft u veilig? Kijk bijvoorbeeld eens naar Adobe: zij hebben tijdens de laatste ‘Patch Tuesday’ meer dan 100 kwetsbaarheden in hun software opgelost, waarvan 75 alleen al in Adobe Reader. Dit betekent dat u tegen de tijd dat de nieuwe kwetsbaarheden bekend worden gemaakt, er mogelijk alweer vele honderden kwetsbare systemen zijn. Ook al heeft u de vorige keer alle kwetsbaarheden netjes opgelost. Daarom is het zo belangrijk om dit proces voortdurend te monitoren.
 

6. Mijn patchmanagementsysteem lost dit toch allemaal op?

Een opmerking die wij vaak horen van klanten is: “Mijn patchmanagementsysteem lost de kwetsbaarheden voor mij op, dus wij hoeven er niet meer naar om te kijken.” Wij twijfelen er niet aan dat een patchmanagementsysteem noodzakelijk is om gecentraliseerd updates te installeren. Echter zien wij in bijna alle gevallen dat het patchmanagement niet zo goed is als men wellicht denkt.

Problemen die we vaak tegen komen? Denk aan systeemupdates die soms al weken of zelfs maanden niet lopen, systemen die zich niet meer melden bij het patchmanagementsysteem of zelfs nooit zijn geactiveerd in dit systeem. Een patchmanagementsysteem weet daarnaast niet of een kwetsbaarheid daadwerkelijk is opgelost en kan het ook geen overzicht tonen van de aanwezige kwetsbaarheden.

Een Vulnerability Management-systeem gebruiken

Daarom adviseren wij het gebruik van een Vulnerability Management-systeem. Hiervoor maakt IP4Sure gebruik van InsightVM van Rapid7. Goed om te weten: dankzij onze uitgebreide ervaring en kennis hebben we de status van Gold Partner verworven bij Rapid7.
 

Bent u geïnteresseerd in Vulnerability Management?

Hier vindt u meer informatie over hoe InsightVM bijdraagt aan een veiligere digitale omgeving. Advies over hoe uw organisatie het beste over kan stappen naar Vulnerability Management? Neem vrijblijvend contact met ons op.

Voor de ene organisatie is een IT-security audit vaste prik, voor het andere bedrijf blijft het een overweging die steeds weer terugkeert. Want hoe essentieel is een security audit? Wat gaat het nog opleveren terwijl er al is geïnvesteerd in IT-security oplossingen? Moet alles dan niet gewoon altijd veilig zijn?

Security audit: wat is de meerwaarde?

Ja, net zoals u mag verwachten dat een nieuwe koffiemachine functioneert, mag u ook eisen dat securityoplossingen hun werk doen. Echter betekent het hebben van securityoplossingen niet dat u geen risico op een cyberaanval meer loopt. Allereest zijn niet alle dreigingen af te vangen met een securityproduct. Daarnaast kan het ook voorkomen dat iets (per ongeluk) niet goed wordt gebruikt door collega’s, waardoor er sprake is van schijnveiligheid.

Een onafhankelijke security audit dus is écht van meerwaarde en zeker niet iets om op te beknibbelen. Hoe dat precies zit? In dit artikel leggen we er alles over uit!
 

IT-security is een continu proces

Laten we direct voorop stellen: aannames over de staat van uw IT-security zijn funest. Het is volkomen begrijpelijk te denken dat u er warm bij zit na het maken van investeringen in cybersecurity. Maar helaas: het continu veilig houden van uw IT-infrastructuur is nooit een eenmalige actie. Monitoring en inzicht zijn essentieel. Gelukkig zijn steeds meer bedrijven hier al van op de hoogte.

Tegenwoordig zijn er voor aanvallers zoveel mogelijkheden IT-omgevingen te infiltreren, dat zelfs de organisaties die security erg serieus nemen last hebben van gaten op zijn tijd. Kijk maar naar Microsoft: die rollen niet voor niets regelmatig beveiligingsupdates uit. Dat heeft alles te maken kwetsbaarheden die zo nu en dan ontstaan, mede door de snel ontwikkelende technologieën.

Daarnaast blijft het natuurlijk een groot probleem dat niet iedereen securityminded handelt en securityoplossingen verkeerd gebruikt. Dan valt er al snel een gat in uw digitale omheining.

Beveiligingslekken zijn vaak onopvallend

Het meest uitdagende is dat deze beveiligingslekken niet altijd direct zichtbaar zijn. Wanneer uw CV-ketel kuren vertoont, merkt u dat waarschijnlijk direct: uw verwarmingen springen bijvoorbeeld niet meer aan. Wanneer uw securitybeleid gaten heeft, is het pas zichtbaar wanneer het mis gaat. Dan is er al schade. Natuurlijk wilt u dit voorkomen.

Wat levert een security audit concreet op?

IT-security audits geven helder inzicht in de cyberweerbaarheid van uw IT-infrastructuur en organisatie. Het stelt u in staat een realistische beoordeling van eventuele veiligheidsrisico’s te maken. Op die manier bent u beter op de hoogte van de staat van beveiliging en is het mogelijk doeltreffende oplossingen te realiseren voordat eventuele problemen zich aandienen.

IT-security audits: wat is er mogelijk?

Wanneer u een cyber security specialist vraagt wat een security audit inhoudt, is de kans aanwezig dat u verschillende reacties krijgt. Dat heeft er alles mee te maken dat er verschillende manieren zijn om de staat van uw IT-security te meten. Daarnaast heeft ook niet elke audit dezelfde scope of reikwijdte. Een security audit is dus een breed begrip.

Wat kan er worden onderzocht in zo’n audit?

U bent zich er waarschijnlijk al lang van bewust dat er op uiteenlopende vlakken bedreigingen op de loer liggen. Een security audit kan onderzoeken hoe weerbaar u bent tegen – onder andere – de volgende cyberdreigingen:

1. Weerbaarheid tegen Malware

In hoeverre bent u beschermd tegen de dreiging van Malware zoals Trojan Horses, Spyware, Worms en – niet onbelangrijk – Ransomware?

2. Distributed Denial of Service-aanvallen

Zeker wanneer de online infrastructuur van uw organisatie continu (misschien zelfs 24/7) beschikbaar moet zijn, is de bekende DDoS-aanval een ramp. Daarbij valt de hacker meestal een webserver aan door deze te overbelasten, waardoor de boel niet meer werkt zoals het hoort.

3. Phishing-aanvallen

Datadiefstal en gegevensinbreuken hebben regelmatig een phishing-aanval als oorzaak. Heeft een aanvaller de juiste inloggegevens te pakken gekregen door phishing? Dan kan hij bij veel bedrijven meteen overal bij zonder last te hebben van beveiligingsmaatregelen. Is uw organisatie beschermd tegen phishing? En hoeveel kan een hacker wanneer hij toch in heeft weten te loggen?

4. Onveilige wachtwoorden

Daarop voortbordurend: wat voor wachtwoordbeleid heeft uw organisatie? In sommige gevallen vinden er zonder dat er een phishing-actie aan ten grondslag ligt toch account-takeovers plaats. Hoe dat kan? Doordat inloggegevens veel te eenvoudig te raden zijn.

5. Onoplettende werknemers

Slechte wachtwoorden hangen vaak samen met onoplettende werknemers. Veel gaten in de cyberweerbaarheid vallen – onbedoeld – door werknemers die niet voldoende securityminded optreden. Zijn uw werknemers in basis voldoende opgeleid veilig te handelen? En gebruiken ze alle securityoplossingen op de juiste manier?

6. Toegang tot (gevoelige) data

Dat men op moet passen voor ransomware en phishing is inmiddels wel bekend bij organisaties. Maar hoe zit het met de beveiliging rondom klantgegevens? Of andere gegevens zoals de code van een klant? Een security audit kan zich dus ook richten op klant-specifieke securityvragen.

7. Fysieke infiltratie

Er zijn vooral veel manieren waarop hackers via de digitale omgeving binnen komen. Maar wist u dat uw fysieke beveiliging een net zo belangrijk onderdeel is van uw cybersecuritybeleid? Een fysieke penetratietest kijkt hoe eenvoudig derden bij belangrijke locaties zoals serverruimtes kunnen komen.

Verschillende security scans

Hoe uitgebreid zo’n audit is, hangt natuurlijk af van de soort test waar u voor kiest. Er zijn tests die alle aspecten van uw securitybeleid uitpluizen, maar er zijn ook snelle scans die u een tussentijds overzicht geven van de situatie van één onderdeel binnen de algehele cybersecurity koepel. Hier een greep uit de soorten tests die u tegen kan komen in uw zoektocht naar audits:

Vulnerability Scan

Met een Vulnerability Scan krijgt u inzicht in de veelvoorkomende (digitale) kwetsbaarheden. Deze scan kijkt dus niet naar kwetsbaarheden zoals de manier waarop medewerkers met phishingacties om gaan, maar puur naar eventuele problemen in de infrastructuur. Deze scan is automatisch en daarmee redelijk algemeen van aard, maar wel een fijne eerste stap om meer inzicht te krijgen.

Pentest

Een pentest – ook wel penetratietest – gaat heel wat stappen verder. Hierbij gaat een (team van) ethisch hacker(s) verschillende aanvallen simuleren op uw infrastructuur. De werkwijze komt precies overeen met die van aanvallers. Ook zwakke schakels zoals de mens kunnen worden meegenomen in de aanpak, wat maakt dat de pentest een zeer realistisch beeld geeft van de cyberweerbaarheid van uw organisatie.

Lees hier over veelvoorkomende misvattingen over de penetratietest.

Code review

Bij een code review kijkt een security expert naar hoe veilig de broncode van uw software of (web)applicatie is. De specialist controleert de broncode regel voor regel op eventuele kwetsbaarheden of fouten. Het securitybeleid van uw organisatie wordt meegenomen om de toetsing contextgericht plaats te laten vinden.

Nulmeting of IT-Scan

Waar een Vulnerability Scan geautomatiseerd de veelvoorkomende digitale kwetsbaarheden bovenwater tovert, kijkt een nulmeting of cyber security audit vaak op een zelfde globale wijze naar het complete geheel. Is er een securitybeleid? Wordt er gebruik gemaakt van MFA? Van VPN? Security experts gaan een uitgebreide checklist af om veelvoorkomende securitymissers naar voren te halen. Zo weet u hoe u er in de algemene basis voor staat.

Audits tbv ISO-certificeringen

Tot slot zijn er nog de audits ten behoeve van ISO-certificeringen. Bij deze certificeringen moet u als organisatie voldoen aan hele specifieke informatiebeveiligingseisen. Er zijn veel organisaties die gespecialiseerd zijn in het afnemen van IT-security audits die al deze eisen onder de loep nemen, zodat u precies weet hoe ver u van de certificering vandaan bent. En of u hem hebt gehaald natuurlijk.

Interesse in een IT-security audit?

IP4Sure biedt verschillende scans en tests waarmee u inzicht krijgt in de cyberweerbaarheid van uw organisatie. Zo zijn pentests een belangrijk specialisme van ons. Ook bieden we Vulnerability Scans, Code reviews, Nulmetingen en Fysieke penetratietests. 

Wilt u advies over welke test bij uw securityvraagstuk past? Neem dan vrijblijvend contact met ons op.